Desde hace unos meses está circulando información sobre el tema de que la Agencia Española de Protección de Datos, “prohibía” la utilización de servidores como los de Dropbox, Google, Mailchip etc., para almacenar datos personales, a raiz de una sentencia del TJUE.
En realidad no es exactamente esto, sino que la Agencia Española de Protección de Datos únicamente informaba que a raiz de una sentencia del Tribunal de Justicia de la Union Europea, las transferencias de datos desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).
La Decisión de Puerto Seguro (Safe Harbour) es un acuerdo que se firmó entre los Estados Unidos y la Union Europea, para garantizar que los datos personales que se transmitieran entre paises europeos y los Estados Unidos, tuvieran los mismos niveles de protección que se exigen en Europa
(Hay que hacer notar que las medidas de seguridad para los datos personales son mucho más exigentes en Europa que en los Estados Unidos, donde con la “excusa” de la seguridad o interes nacional, pueden saltarse las medidas que se aplican en Europa)
¿¿¿ Cual es entonces el problema ???
Hasta ahora, podiamos transferir datos personales a servidores situados en Estados Unidos, porque las empresas americanas estaban adheridas por asi decirlo, al antiguo acuerdo de Puerto Seguro (Safe Harbour), que en teoria cumplia las condiciones exigidas por Europa.
Pero a raiz de esta sentencia de Tribunal de Justicia de la Union Eurpea, que declara que el acuerdo de “Puerto Seguro” ya no es válido, los datos personales que podamos tener almacenados en servidores americanos, ya no cumplen con la normativa de proteccion exigida en Europa, y que en teoria, tenemos escritas en el «Documento de Seguridad» que debemos tener todas las empresas
¿¿ A quien afecta ??
A todas las empresas que usamos servidores como Dropbox, Google, etc para almacenar datos personales, como pueden ser , copias de nuestra contabilidad o facturación, documentos etc
Hay que tener en cuenta que las empresas españolas debemos tener nuestros ficheros de datos personales debidamente inscritos en la Agencia Española de Proteccion de Datos y cumplir unas normas de seguridad, tanto de los datos “originales”, como de las posibles “copias de seguridad “ que tengamos.
¿ Qué debemos hacer ahora ?
Si deseamos continuar usando estos servidores americanos, tenemos 3 opciones :
a) Pedir la autorización previa de los titulares de los datos personales para alojarlos en empresas de Estados Unidos.
En el caso de una empresa, es prácticamente imposible de conseguir que todos los clientes, proveedores, empleados etc., acepten esto, al menos en un corto plazo.
b) Firmar con la empresa donde alojamos nuestros datos (Dropbox, Google, etc) unas cláusulas para la transferencia de datos a terceros países y una vez firmadas, pedir autorización a la Agencia Española de Protección de Datos.
En principio es un poco complicado en estos momento, que a nivel individual podamos conseguir que Google, Dropbox o empresas de este calibre, nos hagan caso y nos firmen nada, aunque algunas de ellas ya tienen publicado en su web un contrato con estas clausulas.
c) Buscar un proveedor que tenga sus servidores la Union Europea, opción que posiblemente empiecen a usar estas grandes empresas ya que la mayoria , al menos actualmente indican que sus servidores “… pueden estar situados en cualquier parte del mundo” y eso ya no es válido.
Nos imaginamos que poco a poco, para los usuarios europeos, irán tomando las medidas técnicas necesarias para que los datos de usuarios europeos tengamos los datos en servidores situados fisicamente en Europa, y sometidos por tanto a la normativa europea.
A continuación os ponemos unos enlaces sobre este tema :
Como siempre, quedamos a vuestra disposición para cualquier aclaración sobre el tema.
