Ir al contenido principal

¿Cómo afecta a los autónomos y pymes la anulación de Safe Harbor (Puerto seguro) sobre transferencias internacionales de datos personales?

Imagen
De
Sabia Vd....¿Cómo afecta a los autónomos y pymes la anulación de Safe Harbor (Puerto seguro) sobre transferencias internacionales de datos personales?
El panorama de la Ley Orgánica de Protección de Datos (LOPD) en España ha sufrido un importante cambio a raíz de la sentencia que hizo pública el Tribunal de Justicia de la Unión Europea (TJUE) el pasado 6 de octubre y que implica que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour), lo que dificulta mucho la manera de trabajar con empresas que almacenen datos de ciudadanos europeos en servidores de Estados Unidos, como por ejemplo, Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre otras.
Estimado/a cliente/a:
La anulación del acuerdo Safe Harbor (Puerto seguro) en octubre de 2015 ha generado diferentes dudas en las empresas que usan servicios online sobre su actual nivel de cumplimiento de la legislación de protección de datos.

Para entender un poco este asunto del Safe Harbor vamos a explicarles brevemente las obligaciones en materia de protección de datos a las que están sujetas las empresas y autónomos españoles y el propio Safe Harbor.

A grandes rasgos la Safe Harbor es un acuerdo que firmaron Europa y Estados Unidos en el año 2000 con el que hasta ahora se permitía que los datos personales circularan entre Europa y Estados Unidos y se almacenaran allí con una exigencia de seguridad menor que la estipulada por las normativas europeas, pero que el Tribunal de Justicia de la Unión Europea ha considerado que no garantiza el nivel de protección de datos suficiente para los usuarios europeos.
Aunque la anulación de Safe Harbor es una avance en la protección de los datos personales, es una mala noticia para todos los autónomos y pymes que utilizan estas herramientas de manera habitual y que ahora van a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a cambiar de proveedor.

La cancelación del acuerdo del Safe Harbor puede afectar a las empresas españolas que utilizan proveedores para su estrategia de email marketing extranjeros. Parece que ya no es seguro tener la lista de contactos en este tipo de proveedores, por lo que lo mejor puede ser migrar a uno que tenga sus servidores en Europa. Hay que tener en cuenta que, ahora ya no es legal utilizar servicios que están adheridos a Safe Harbor y que impliquen una transferencia internacional de datos.

La Agencia Española de Protección de Datos (AEPD) ha dado de plazo a los bloguer y emprendedores online para adaptarse al nuevo marco legal antes del 31 de enero de 2016.

¿Qué son los datos de carácter personal?

Cualquier información concerniente a personas físicas identificadas o identificables (nombre, apellidos, dirección, número de teléfono, matrícula del vehículo, correo electrónico, fotografía, imagen de video …), en cuanto permita identificar o haga meramente identificable a cualquier persona física o dirección IP.

Si en la actividad económica que desempeñamos se trabaja con datos personales de personas físicas, estamos obligados al cumplimiento de la normativa vigente para protegerlos. Hay que tener en cuenta que a estos efectos no se consideran personas físicas a las personas fallecidas, a los autónomos en el ejercicio de su actividad, ni a las personas de contacto de sociedades mercantiles con las que tengamos relación comercial.

Cumplimiento de la LOPD

En líneas generales, para garantizar que los datos de carácter personal con los que trabajamos están debidamente protegidos es necesario realizar una serie de actuaciones:

  • Notificar a la Agencia Española de Protección de Datos (AEPD) los conjuntos (ficheros) de datos con los que trabajamos
  • Informar a los afectados en el momento de la recogida de los datos de cuál es la finalidad para la que se recogen y qué mecanismos tienen a su disposición para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
  • Garantizar el cumplimiento de los deberes de secreto y confidencialidad
  • Cumplir las medidas de seguridad adecuadas
  • Elaborar un documento de seguridad que recoja las medidas técnicas y organizativas que se adoptan para garantizar la protección
Transferencias internacionales de datos personales y Safe Harbor

Una transferencia internacional de datos es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE). Ateniéndonos al reglamento existente, cuando se usa un servicio de cloud computing y en él se hace un tratamiento de datos personales, el proveedor de dicho servicio sería considerado según la LOPD como un encargado de tratamiento. Si además el servicio no está ubicado en la EEE (es decir, es una empresa de otro país), al usarlo estamos realizando una transferencia internacional. Por ejemplo, cuando utilizamos los servidores de Google para gestionar emails de personas físicas, almacenamos ficheros con datos personales en Dropbox, enviamos campañas de email usando Mailchimp... 
Si realizamos transferencias internacionales de datos es necesario notificarlo a la AEPD a la hora de inscribir los ficheros. Si además el importador de los datos (es decir, el servicio que se va a utilizar para gestionar los datos personales) no ofrece un nivel adecuado de protección, es necesario obtener la autorización de la Directora de la AEPD.

La AEPD establece qué países además de los del EEE ofrecen un nivel de protección adecuado, y cuáles no.  Al ser Estados Unidos el país en el que se ubican la mayor parte de las empresas tecnológicas que proveen los servicios cloud más populares, entre la UE y EE.UU. se estableció el llamado Acuerdo Safe Harbor (o de Puerto Seguro), al que podían adherirse empresas de este país para garantizar que ofrecían un nivel de protección conforme con el que exige la normativa de protección de datos personales de la UE. Sin embargo, el 6 de Octubre de 2015 este acuerdo fue derogado por el TJUE, lo que ha sembrado dudas entre las empresas que utilizan servicios "online" de compañías norteamericanas.

Tribunal de Justicia de la Unión Europea (TJUE)

Como hemos indicado, con fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base legal.

Por ello, en el caso de que se tenga previsto continuar realizando transferencias internacionales de datos a Estados Unidos, país que no proporciona un nivel de protección equivalente al que presta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), deberán encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables. En consecuencia, en el ejercicio de las competencias de la AEPD, se están requiriendo a las empresas para que a la mayor brevedad, y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos. De no recibirse contestación a este requerimiento ni, en su caso, la notificación de modificación de las transferencias internacionales contenidas en el/los fichero/s en el plazo indicado, se recuerda que, conforme a lo dispuesto en el Reglamento de la LOPD, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.


Comunicado de la Agencia Española de Protección de Datos (AEPD) sobre la aplicación de la sentencia de Puerto Seguro

Con el objetivo de informar de forma directa a los responsables que realizan transferencias internacionales de datos a EEUU y ante la inquietud generada por la noticia titulada “Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”, la Agencia Española de Protección de Datos (AEPD) ha puntualizado lo siguiente:

  • Desde la AEPD no se ha dado ningún ultimátum a las empresas españolas. El Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia el pasado 6 de octubre que implica que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).
  • La Agencia ya anunció de forma pública el pasado 29 de octubre que, en el marco de una actuación conjunta de las Autoridades europeas de protección de datos, iba a establecer contacto con todas las empresas de las que tuviera constancia que utilizaban Puerto Seguro para la realización de transferencias internacionales. Ese mismo día, la AEPD comenzó a enviar una comunicación  a esas empresas con el objetivo de facilitar la comunicación directa con los responsables, poniendo a su servicio canales de información adecuados. 
  • La Agencia en ningún caso ha requerido a los responsables para que dejen de utilizar determinados servicios de almacenamiento en la nube. Las acciones de la Agencia no están orientadas a la prohibición de utilizar herramientas concretas sino a informar a los responsables para que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE.
  • La sentencia del TJUE está orientada a responsables, no a los ciudadanos que hacen un uso doméstico de los datos personales que pudieran almacenar en la nube. 
  •  El marco temporal definido por las Autoridades europeas de protección de datos se concreta, en el caso de España, en que los responsables informen al Registro General de Protección de Datos de la AEPD antes de finales de enero sobre la continuidad de las transferencias y sobre su adecuación a la normativa de protección de datos. La Agencia en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores por defecto contra las empresas. En la comunicación enviada a los responsables, la AEPD sólo indica que, de no modificarse la base legal para la realización de transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias. 
  • La Agencia, junto con las Autoridades europeas de protección de datos, apuesta por encontrar soluciones sostenibles para aplicar la sentencia del TJUE e insiste en el llamamiento realizado a las Instituciones de la UE, los Estados miembros y las empresas para encontrar un camino que permita el cumplimiento de la sentencia del Tribunal.
En cualquier caso, la Comisión Europea ha declarado que espera poder llegar a un acuerdo con los EE.UU en lo que se ha llamado Safe Harbor 2.0.

¿Qué pueden hacer las empresas españolas?

A la espera de la respuesta de todos nuestros proveedores afectados así como las nuevas actuaciones/instrucciones de la APD, debemos tener presente cuales son los supuestos que legitiman una transferencia de datos internacionales según la actual normativa de protección de datos:

1) El primero de ellos es si nos encontramos en alguna de las excepciones de los artículos 34 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) y 66.2 del Reglamento 1720/2007 de desarrollo de la LOPD.

2) Obtener una autorización del Director de la AEPD aportando una serie de garantías que nos sean exigidas.

3) Aplicar cláusulas contractuales tipo que son unas cláusulas modelo que han sido previamente aprobadas por la Comisión Europea por otorgar suficientes garantías a los proveedores que las suscriben.

5) Obtener el consentimiento expreso de cada uno de los titulares de los datos indicando con precisión al destinatario de la transferencia, la finalidad, el ejercicio de sus derechos, etc.

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,

Comentarios

Publicar un comentario

Gracias por su apreciable colaboracion, lo antes posible le contestaremos. El Grupo de Colaboradores de Estudio Juridico 4,S.L., Calle Luz Casanova,12,46009 Valencia. Tel 963689510 email: ej4@estudiojuridico4.es

Entradas populares de este blog

¿PIERDO LA ANTIGUEDAD SI FIRMO UNA BAJA VOLUNTARIA Y FIRMO UN CONTRATO NUEVO INDEFINIDO?

De
Sabia Vd. Si despide a un empleado que antes de ser indefinido tuvo varios contratos temporales, ¿qué antigüedad deberá computar para calcular su indemnización? Indemnización. Su empresa va a efectuar un despido por causas objetivas. Dado que sabe que si se equivoca a la hora de calcular la indemnización el despido será declarado improcedente, le interesa conocer cuál es la forma correcta de calcularla si el trabajador despedido ha tenido varios contratos encadenados en su empresa. Encadenamiento. En general, si entre el último contrato temporal y el indefinido pasaron más de 20 días hábiles (es decir, sin contar sábados, domingos ni festivos), para calcular la indemnización sólo deberá computar como antigüedad la duración del último contrato. ¡Atención! Sin embargo: Si ha pasado un plazo inferior, la indemnización se calculará atendiendo al inicio del contrato temporal. Asimismo, deberá computar como antigüedad la fecha del primer contrato si el laps
Publicar un comentario
Leer más

Principales novedades fiscales para 2023

De
¿Sabia Vd?.... Principales novedades fiscales para 2023 Para el ejercicio 2023 nos vamos a encontrar con una "batería" de novedades fiscales de cierto calado, que vienen incorporadas sobre todo en la Ley de Presupuestos Generales del Estado 2023. Junto con esta Ley se han aprobado otras normas importantes con diferentes medidas tributarias novedosas, como el Impuesto de solidaridad de las grandes fortunas, la tributación de los plásticos y sobre depósitos de residuos, la nueva fiscalidad de las llamadas empresas emergentes ("Startups") y los impuestos sobre las energéticas y entidades financieras. Además, también se ha aprobado medidas tributarias introducidas por el Real Decreto-Ley 20/2022, de respuesta a las consecuencias económicas y sociales de la guerra de Ucrania. Podríamos resumir las principales novedades fiscales 2023 en estos apartados: Fiscalidad de personas físicas y grandes patrimonios Nuevo gravamen especial para las grandes fortunas durante 2022 y 20
Publicar un comentario
Leer más
De
¿Sabia Vd?.... Se ha publicado en el DOGV la  RESOLUCIÓN de 7 de marzo de 2023, de la Conselleria de Hacienda y Modelo Económico, por la que se publica la línea presupuestaria para la financiación de las subvenciones del Programa Eurodisea para el ejercicio 2023, así como su primera convocatoria anual  (DOGV núm. 9553, 14/03/2023).   Esta convocatoria está destinada a empresas y entidades de la Comunitat Valenciana y tiene por objeto la realización de convenios de prácticas profesionales adecuadas al nivel de estudios con los participantes extranjeros del programa “Eurodisea”, de entre 18 y 30 años, que hayan resultado seleccionados.   Las entidades interesadas deberán poseer su centro de trabajo en la Comunitat Valenciana, tener al menos dos personas empleadas, y designar un supervisor que instruya, supervise y apoye técnicamente a la persona joven en el desarrollo de la práctica.   Características de las prácticas Duración máxima de 6 meses. La fecha de comienzo del periodo de prácti
Publicar un comentario
Leer más