El panorama de la Llei orgànica de protecció de dades (LOPD) a Espanya ha sofert un important canvi arran de la sentència que va fer pública el Tribunal de Justícia de la Unió Europea (TJUE) el passat 6 d’octubre i que implica que les transferències des de la Unió Europea als EUA no es poden seguir realitzant sota la base legal de la Decisió de la Comissió del Port Segur (Safe Harbor), la qual cosa dificulta molt la manera de treballar amb empreses que emmagatzemin dades de ciutadans europeus en servidors dels Estats Units, com per exemple, Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre d’altres.
L’anul·lació de l’acord Safe Harbor (Port Segur) a l’octubre de 2015 ha generat diferents dubtes en les empreses que usen serveis en línia sobre el seu actual nivell de compliment de la legislació de protecció de dades.
Per entendre una mica aquest assumpte del Safe Harbor els explicarem breument les obligacions en matèria de protecció de dades a les quals estan subjectes les empreses i autònoms espanyols i el mateix Safe Harbor.
A grans trets el Safe Harbor és un acord que van signar Europa i els Estats Units l’any 2000 amb el qual fins ara es permetia que les dades personals circulessin entre Europa i els Estats Units i que s’emmagatzemessin allà amb una exigència de seguretat menor que l’estipulada per les normatives europees, però que el Tribunal de Justícia de la Unió Europea ha considerat que no garanteix el nivell de protecció de dades suficient per als usuaris europeus.
Encara que l’anul·lació de Safe Harbor és una avanç en la protecció de les dades personals, és una mala notícia per a tots els autònoms i pimes que utilitzen aquestes eines de manera habitual i que ara hauran de dedicar un temps a complir amb els nous requisits o fins i tot a canviar de proveïdor.
La cancel·lació de l’acord del Safe Harbor pot afectar a les empreses espanyoles que utilitzen proveïdors estrangers per a la seva estratègia d’email màrqueting. Sembla que ja no és segur tenir la llista de contactes en aquest tipus de proveïdors, per la qual cosa el millor pot ser migrar a un que tingui els seus servidors a Europa. Cal tenir en compte que, ara ja no és legal utilitzar serveis que estan adherits a Safe Harbor i que impliquin una transferència internacional de dades.
L’Agència Espanyola de Protecció de Dades (AEPD) ha donat de termini als bloguer i emprenedors en línia per adaptar-se al nou marc legal abans del 31 de gener de 2016.
Què són les dades de caràcter personal?
Qualsevol informació concernent a persones físiques identificades o identificables (nom, cognoms, adreça, número de telèfon, matrícula del vehicle, correu electrònic, fotografia, imatge de vídeo, etc.), quan permeti identificar o faci merament identificable a qualsevol persona física o adreça IP.
Si en l’activitat econòmica que exercim es treballa amb dades personals de persones físiques, estem obligats al compliment de la normativa vigent per protegir-les. Cal tenir en compte que a aquests efectes no es consideren persones físiques a les persones mortes, als autònoms en l’exercici de la seva activitat, ni a les persones de contacte de societats mercantils amb les quals tinguem relació comercial.
Compliment de la LOPD
En línies generals, per garantir que les dades de caràcter personal amb les quals treballem estan degudament protegides és necessari realitzar una sèrie d’actuacions:
- Notificar a l’Agència Espanyola de Protecció de Dades (AEPD) els conjunts (fitxers) de dades amb els quals treballem
- Informar els afectats al moment de la recollida de les dades de quina és la finalitat per la qual es recullen i quins mecanismes tenen a la seva disposició per exercir els seus drets ARCO (accés, rectificació, cancel·lació i oposició)
- Garantir el compliment dels deures de secret i confidencialitat
- Complir les mesures de seguretat adequades
- Elaborar un document de seguretat que reculli les mesures tècniques i organitzatives que s’adopten per garantir la protecció
Transferències internacionals de dades personals i Safe Harbor
Una transferència internacional de dades és un tractament de dades que suposa una transmissió de les dades fora del territori de l’Espai Econòmic Europeu (EEE). Atenint-nos al reglament existent, quan s’usa un servei de cloud computing i s’hi fa un tractament de dades personals, el proveïdor d’aquest servei seria considerat segons la LOPD com un encarregat de tractament. Si a més el servei no està situat en l’EEE (és a dir, és una empresa d’un altre país), en usar-ho estem realitzant una transferència internacional. Per exemple, quan utilitzem els servidors de Google per gestionar emails de persones físiques, emmagatzemem fitxers amb dades personals en Dropbox, enviem campanyes d’email usant Mailchimp, etc.
Si realitzem transferències internacionals de dades, és necessari notificar-ho a l’AEPD a l’hora d’inscriure els fitxers. Si a més l’importador de les dades (és a dir, el servei que s’utilitza per gestionar les dades personals) no ofereix un nivell adequat de protecció, és necessari obtenir l’autorització de la direcció de l’AEPD.
L’AEPD estableix quins països a més dels de l’EEE ofereixen un nivell de protecció adequat, i quins no. En ser els Estats Units el país en el qual se situen la major part de les empreses tecnològiques que proveeixen els serveis cloud més populars, entre la UE i els EUA es va establir l’anomenat Acord Safe Harbor (o de Port Segur), al que podien adherir-se empreses d’aquest país per garantir que oferien el nivell de protecció que exigeix la normativa de protecció de dades personals de la UE. No obstant això, el 6 d’octubre de 2015 aquest acord va ser derogat pel TJUE, la qual cosa ha sembrat dubtes entre les empreses que utilitzen serveis en línia de companyies nord-americanes.
Tribunal de Justícia de la Unió Europea (TJUE)
Com hem indicat, amb data del 6 d’octubre de l’any passat, el Tribunal de Justícia de la Unió Europea (TJUE) ha declarat invàlida la Decisió de la Comissió 2000/520/CE que estableix el nivell adequat de protecció de les garanties per a les transferències internacionals de dades als EUA ofertes per l’acord de Port Segur, per la qual cosa les transferències no poden emparar-se en aquesta base legal.
Per això, en el cas que es tingui previst continuar realitzant transferències internacionals de dades als Estats Units, país que no proporciona un nivell de protecció equivalent al que presta la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), hauran de trobar legitimació en altres instruments com les Clàusules Contractuals Tipus adoptades per les Decisions de la Comissió Europea 2001/497/CE, 2004/915/CE i 2010/87/UE i, si escau, en les excepcions previstes en l’article 34 de la LOPD que poguessin ser aplicables. En conseqüència, en l’exercici de les competències de l’AEPD, s’estan requerint a les empreses perquè com més aviat millor, i en tot cas abans del 29 de gener de 2016, informi el Registre General de Protecció de Dades sobre la continuïtat de les transferències i, si escau, sobre la seva adequació a la normativa de protecció de dades. En cas que no es rebi contestació a aquest requeriment ni, si escau, la notificació de modificació de les transferències internacionals contingudes en el/els fitxer/s en el termini indicat, es recorda que, conforme al que es disposa en el Reglament de la LOPD, l’Agència podrà iniciar el procediment per acordar, si escau, la suspensió temporal de les transferències.
Comunicat de l’Agència Espanyola de Protecció de Dades (AEPD) sobre l’aplicació de la sentència de Port Segur
Amb l’objectiu d’informar de forma directa als responsables que realitzen transferències internacionals de dades als EUA i davant la inquietud generada per la notícia titulada “Ultimàtum de l’AEPD a empreses espanyoles: prohibit usar Dropbox o Google Apps”, l’Agència Espanyola de Protecció de Dades (AEPD) ha puntualitzat el següent:
- Des de l’AEPD no s’ha donat cap ultimàtum a les empreses espanyoles. El Tribunal de Justícia de la Unió Europea (TJUE) va fer pública una sentència el passat 6 d’octubre que implica que les transferències des de la Unió Europea als EUA no es poden seguir realitzant sota la base legal de la Decisió de la Comissió de Port Segur (Safe Harbor).
- L’Agència ja va anunciar de forma pública el passat 29 d’octubre, en el marc d’una actuació conjunta de les autoritats europees de protecció de dades, que establiria contacte amb totes les empreses de les quals tingués constància que utilitzaven Port Segur per a la realització de transferències internacionals. Aquest mateix dia, l’AEPD va començar a enviar una comunicació a aquestes empreses amb l’objectiu de facilitar la comunicació directa amb els responsables, posant al seu servei canals d’informació adequats.
- L’Agència en cap cas ha requerit als responsables perquè deixin d’utilitzar determinats serveis d’emmagatzematge en el núvol. Les accions de l’Agència no estan orientades a la prohibició d’utilitzar eines concretes sinó d’informar els responsables perquè requereixin al seu proveïdor de serveis, si és necessari, que els ofereixi una resposta adaptada a la sentència del TJUE.
- La sentència del TJUE està orientada a responsables, no als ciutadans que fan un ús domèstic de les dades personals que poguessin emmagatzemar en el núvol.
- El marc temporal definit per les autoritats europees de protecció de dades es concreta, en el cas d’Espanya, que els responsables informin el Registre General de Protecció de Dades de l’AEPD abans de finals de gener sobre la continuïtat de les transferències i sobre la seva adequació a la normativa de protecció de dades. L’Agència en cap moment ha anunciat la seva intenció d’iniciar procediments sancionadors per defecte contra les empreses. En la comunicació enviada als responsables, l’AEPD només indica que, si no es modifica la base legal per a la realització de transferències, l’Agència podrà iniciar el procediment per acordar, si escau, la suspensió temporal de les transferències.
- L’Agència, juntament amb les autoritats europees de protecció de dades, aposta per trobar solucions sostenibles per aplicar la sentència del TJUE i insisteix en la crida realitzada a les Institucions de la UE, els Estats membres i les empreses per trobar un camí que permeti el compliment de la sentència del Tribunal.
En qualsevol cas, la Comissió Europea ha declarat que espera poder arribar a un acord amb els EUA en l’anomenat Safe Harbor 2.0.
Què poden fer les empreses espanyoles?
A l’espera de la resposta de tots els nostres proveïdors afectats així com les noves actuacions/instruccions de la AEPD, hem de tenir present quins són els supòsits que legitimen una transferència de dades internacionals segons l’actual normativa de protecció de dades:
1) El primer d’ells és si ens trobem en alguna de les excepcions dels articles 34 de la Llei orgànica de protecció de dades 15/1999 (LOPD) i 66.2 del Reglament 1720/2007 de desenvolupament de la LOPD.
2) Obtenir una autorització de la direcció de l’AEPD aportant una sèrie de garanties que ens siguin exigides.
3) Aplicar clàusules contractuals tipus que són unes clàusules model que han estat prèviament aprovades per la Comissió Europea per atorgar garanties suficients als proveïdors que les subscriuen.
4) Obtenir el consentiment exprés de cadascun dels titulars de les dades indicant amb precisió al destinatari de la transferència, la finalitat, l’exercici dels seus drets, etc.
