You are here

ATENCIÓN: LA AGPD INSTA A LA LEGALIZACION DE TRANSFERENCIAS INTERNACIONALES DE DATOS ANTES DEL 29 DE ENERO DE 2016

Aplicaciones como DROPBOX O GOOGLE DOCS, almacenan los datos fuera de la UNION EUROPEA, en el supuesto de que estos datos sean de carácter personal de terceros, la agencia de protección de datos exige se legalice la situación.

Desde que en su sentencia del pasado 6 de octubre el Tribunal de Justicia de la Unión Europea declarase la invalidez de la decisión de la Comisión 2000/520/CE (tal y como hemos comentado en nuestro post anterior del blog) la Agencia Española de Protección de Datos está requiriendo a todos aquellos autónomos o empresas que tenían reconocidas transferencias internacionales de datos a entidades estadounidenses adheridas a los “principios de Puerto Seguro” (Safe Habour), a que, si tienen previsto continuar realizando transferencias internacionales a EEUU, encuentren una legitimación para dichas transferencias y, antes del 29 de enero de 2016, informen al Registro General de Protección de Datos sobre la continuidad de las mismas. Además ya no será posible reconocer como encargado de tratamiento a una entidad con sede en EEUU sin renocer la transferencia internacional de datos oportuna y en su caso solicitar la autorización pertinente o recabar el consentimiento expreso de los afectados.

Desde esta revolucionaria sentencia, todas aquellas entidades españolas que utilicen plataformas tecnológicas  o programas en la nube (tanto para guardar como para tratar información con datos personales de sus clientes) que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo DropBox, Google Drive, Google Apps, o MailChimp (emails comerciales), Facebook, etc,  deberán adaptarse y cumplir con la nueva normativa o exponerse a ser multadas con una sanción que va desde los 300.001 euros a los 600.000 euros por comisión de una infracción muy grave de protección de datos. 

 

Importante para los profesionales, temas a tener en cuenta:

¿Qué se considera una transferencia internacional de datos?

Para la AEPD es el tratamiento de datos que supone una transmisión de los mismos fuera de la Unión Europea, bien constituya una cesión o comunicación de datos, o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

¿Como se legitima una transferencia internacional de datos? Hay 3 Posibilidades:

 

1. El usuario de la aplicación deberá solicitar la autorización para la transferencia internacional a la Directora de la AEPD aportando un contrato escrito en el que consten las clausulas contractuales tipo (*) celebrado entre el usuario de la aplicación y el proveedor de la aplicación, en el que consten las necesarias garantías para la protección de los datos y los derechos fundamentales de los interesados.

Esta opción no es recomendable en la práctica, teniendo presente que empresas como Google, Mailchimp, Dropbox… que se consideran Encargados del tratamiento por recibir y tratar la información, no dan opción a negociar ni modificar las condiciones de su servicio, y aunque el cliente no pueda negociar las condiciones, no se le exime de la responsabilidad de cumplir con la Ley, tal y como recordó la AEPD en la Guía del Cloud Computing. 
Pueden consultarse los documentos a aportar en el caso de solicitar la autorización a la Agencia en el siguiente link de la propia AEPD.

 

2. Ampararse en algunas de las excepciones previstas en el articulo 34 de la LOPD, cuando sea necesario para:
 

a) La aplicación de tratados o convenios en los que sea parte España.

b) Auxilio judicial internacional.

c) La prevención o para el diagnóstico médicos,

d) Transferencias dinerarias conforme a su legislación específica.

e) El afectado haya dado su consentimiento inequívoco.

f) Ejecución de un contrato entre el afectado y el responsable del fichero.

g) Celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

h) Interés público.

i) Derecho en un proceso judicial.

j) A petición de persona con interés legítimo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea.

 

3. Contratar con un proveedor que tenga ubicados sus servidores en España o dentro de la Unión Europea y que cumpla con las medidas de seguridad establecidas para el nivel de los datos que se vayan a manejar o almacenar.

 

 

 

* Las Cláusulas Contractuales Tipo (CCT) adoptadas por las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE o bien el modelo de la AEPD entre encargados y subencargados  bien a través de las Reglas Corporativas Vinculantes (RCV).

logo_inverse

...la página se está cargando...