El Puerto Seguro, o Safe Harbour, venía a simplificar las transferencias internacionales de datos realizadas hacia empresas de Estados Unidos. Pero la Sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015 ha venido a dar un sonoro portazo a este sistema.
Puerto Seguro
Para muchas empresas resulta necesario (o simplemente conveniente) almacenar o tratar datos personales de europeos en otros paises. Para posibilitar que esto tenga lugar, las normas marco y las diferentes leyes nacionales (en nuestro caso la Ley Orgánica de Protección de Datos) preveen la denominada transferencia internacional de datos, exigiendo que se realice a paises cuya legislación ofrezca un nivel de protección equiparable y sometiéndola a un régimen de autorización previa en el que debe acreditarse quién custodiará los datos, para qué se tratarán y cómo se controlará la seguridad de los mismos.
En el caso de Estados Unidos se estableció un sistema de reconocimiento de seguridad no para todo el pais si no exclusivamente para aquellas empresas que aplicaran las buenas prácticas descritas por el organismo regulador y que les permitiera tener el reconocimiento como Puerto Seguro o Safe Harbour.
Prescindir del reconocimiento de Puerto Seguro en las transferencias internacionales de datos tendrá consecuencias profundas tanto para las empresas europeas que no podrán utilizar los recursos americanos de forma libre, como para las empresas americanas que tendrán una nueva barrera para el establecimiento de sus servicios en europa. Además incidirá directamente sobre el desarrollo del cloud computing y del big data en europa.
LOPD y Puerto Seguro
La LOPD en los artículos 33 y 34 regula la transferencia internacional de datos, exigiendo la autorización de la Agencia Española de Protección de Datos en aquellos casos en los que se produce una transferencia a un país que no tenga un nivel de protección equiparable. Como no hace falta que detallemos, obtener una autorización es un proceso lento que no responde a las necesidades de inmediatez de muchos casos de negocio.
El responsable del tratamiento debe otorgar garantías adecuadas para asegurar que el tratamiento de los datos de españoles se realizará en un entorno seguro y exclusivamente para las finalidades establecidas. En caso de omitirse la autorización se incurre en infracción muy grave sancionable con multas de hasta 600.000 euros y sin posibilidad de apercibimiento.
En el caso de Estados Unidos la Comisión reconocía hasta la sentencia de ayer el nivel adecuado no al país y a todos sus operadores económicos, sino “al conferido por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos” (Decisión 2000/520/CE)
A pesar de la imprecisa redacción del RLOPD, por el principio de interpretación conforme al artículo 25.6 de la Directiva 95/46/CE, resultaba innecesaria la autorización al caso de importadores de datos adheridos a sistemas que hayan recibido la calificación de Puerto Seguro o safe harbor y con los que se suscriba un contrato de encargado de tratamiento.
Sin embargo, aunque la situación parecía sencilla, desde Abogado Amigo hemos mantenido posiciones de cautela en el asesoramiento de nuestros clientes, puesto que, en tanto en cuanto con los grandes proveedores de servicios únicamente es posible la adhesión a sus políticas y estas no siempre reflejan los requisitos establecidos en el artículo 12, podemos concluir que no se cumple con los requisitos completos para la exención de autorización en el caso que nos ocupa al no poderse entender cubierta la aceptación de las obligaciones como encargado de tratamiento que exige nuestra legislación.
Por ello en muchs ocasiones hemos optado por tramitar la autorización de transferencia internacional de datos detallando finalidades y tratamientos para evitar la incertidumbre que las politicas de adhesión producían.
Sentencia del Tribunal de Justicia de 6 de octubre
La sentencia que ha revolucionado el estado del Puerto Seguro resuelve una cuestión prejudicial en la que se planteaba si la Decisión 2000/520 emanada en desarrollo de la Directiva 95/46 respeta los derechos a la privacidad, intimidad y protección de datos de los nacionales europeos.
La sentencia entiende que el nivel adecuado de protección que exige la transferencia internacional de datos debe ser ofrecido por los paises que aseguren en su ordenamiento un nivel análogo (no hace falta que sea identico) de respeto a los derechos fundamentales de privacidad establecidos por las normativas europeas y las leyes de protección de datos de nuestro entorno.
Sin embargo, continua la sentencia de 6 de octubre, el sistema de Puerto Seguro, establece únicamente un reconocimiento de determinadas empresas de autoevaluación de haber asumido e implementado buenas prácticas en el gobierno de las tecnologías de la información dentro de su emtorno empresarial. Pero no implicaba un compromiso del país (Estados Unidos) por el respeto a la protección de datos dentro de sus fronteras. Sólo este motivo era suficiente para que el Tribunal declarase su inadecuación a nuestro sistema de respeto de la intimidad, puesto que es la industria la que autoevalua su cumplimiento del requisito que fundamenta la transferencia internacional de datos.
Pero además, la propia Decisión preveía el acceso a datos por parte de las agencias estadounidenses quedando estos accesos fuera del control de los órganos regulatorios de protección de datos en el ámbito europeo. Esto produce una tremenda indefensión, a juicio del Tribunal de Justicia de la Unión Europea, puesto que impide al órgano de control de la legalidad en materia de protección de datos vigilar el cumplimiento normativo en las transferencias realizadas a un operador Puerto Seguro al quedar fuera del alcance de su autorización el hecho de la transferencia y fuera del alcance de su revisión los accesos a datos de las agencias estadounidenses.
Después de esta sentencia, queda anulada la Decisión 2000/520, se excluye el sistema de puerto seguro como medio de transferencia internacional de datos con destino Estados Unidos e impactará de forma inmediata y decisiva en el desarrollo de nuevas tecnologías en el ámbito de TI.
Hola Antonio.
One Drive creo que está ubicado en servidores americanos como la mayoría de servicios de Microsoft.
Buenos días,
¿Conocéis alguna alternativa viable a DropBox, y que cumpla los requisitos de la LOPD?
Hasta esa sentencia que comentas usaba esta aplicación, pero ya no es posible al tener sus servidores en EEUU (por el momento, parece ser que están negociando al respecto).
Me comentaron HUBIC, pero el funcionamiento es un poco raro y no me gusta.
Me han hablado de OneDrive, de Microsoft, conoces esta nube? qué tal es?
Gracias.
Felicitaciones es muy interesante de saber como se aplica la ley , su país