Hace varias semanas, un titular del periódico “El confidencial” hacía saltar todas las alarmas de manera innecesaria y fueron muchos clientes, los que nos llamaron al ver publicados en blogs y en todo tipo de redes sociales lo siguiente “El ultimátum de la AEPD a las empresas españolas: prohibido usar Dropbox o Google Apps”.
Pocas veces, una noticia relacionada con temas de privacidad, hace que se incendien las redes sociales, pero esta vez debemos decir que, este titular es cuanto menos sensacionalista y que, a pesar de invitar a tener miedo e incluso a vernos amenazados con sanciones, no es cierto y que una verdad a medias siempre se convierte en una mentira.
No existe ni ultimátum, ni multas, ni está prohibido usar Dropbox o Google Apps.
De ser cierta la noticia, somos muchos los que tendríamos que cerrar el ordenador y dedicarnos a otra cosa. Una cosa es que la AEPD sea una autoridad de control independiente que vele por el cumplimiento de la normativa sobre protección de datos y garantice y tutele el derecho fundamental a la protección de datos personales y otra bien distinta es que se convierta a estas alturas, en el verdugo del uso de ciertas herramientas generalizadas.
La AEPD a través de un comunicado oficial publicado en su página web, ha realizado un desmentido en toda regla la noticia y se ha mostrado muy contundente al afirmar que:
La Agencia en ningún caso ha requerido a los responsables para que dejen de utilizar determinados servicios de almacenamiento en la nube. Las acciones de la Agencia no están orientadas a la prohibición de utilizar herramientas concretas.
E incluso ha ido más allá, ante la afirmación publicada: “de que las empresas puedan ser multadas, si no acatan la Sentencia del Tribunal de Justicia Europeo del pasado 6 de octubre”, se ha mostrado tajante y afirma que “La Agencia en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores por defecto contra las empresas”.
En la comunicación enviada a los responsables, la AEPD sólo indica que, “de no modificarse la base legal para la realización de transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.”.
Entonces, ¿Qué es lo que ocurre?
En el año 2000 entró en vigor el acuerdo de Puerto Seguro (Safe Harbor); este acuerdo se declaró en base a una directiva Europea que lo que pretendía era establecer un marco legal a la hora de garantizar la privacidad de los datos de los ciudadanos no norteamericanos
Safe Harbor está pensado para prevenir pérdidas o filtraciones no autorizadas de información.
El 6 de octubre de 2015, los acuerdos de «Safe Harbor» entre la Comunidad Europea y los Estados Unidos fueron declarados inválidos; esto sucede a raíz de una resolución por la cual el Tribunal Superior de Justicia de la Unión Europea (TSJUE), anula este acuerdo ya que se dice que es imposible garantizar la privacidad de los datos que se gestionan en EEUU.
Estados Unidos ha perdido su estatus de puerto seguro para la transmisión de datos (Twittea esto)
Han demostrado no ser capaces de garantizar la privacidad de los ciudadanos no norteamericanos.
Fundamentalmente esto, ¿Qué quiere decir?
Que no debemos tener ficheros con datos de clientes, en herramientas que exportan los datos a EEUU o en aquellas gestionadas desde aquel país.
Cuando damos de alta un fichero en la AEPD, debe estar seguro en las fronteras de la Unión Europea y dejan de estarlo si son exportados a servidores norteamericanos.
Entonces, para nuestra labor diaria, ¿está prohibido usar Dropbox o Google Apps?
Entiendo que decir esto es alarmista y exagerado; somos muchas pequeñas y medianas empresas que utilizamos estas herramientas para el desarrollo de actividades en tareas que nada tienen que ver con el tratamiento de los datos de sus clientes, con documentos que no son bases de datos ni incluyen información sobre clientes específicos. Simplemente, para trabajar documentos en grupo, para acceder a ellos desde cualquier lugar o dispositivo, etc.
¿Alguien se cree que la AEPD va a comenzar a investigar si los documentos que una empresa maneja en Dropbox y Google Apps contienen o no información de clientes?
¿Resultaría esto operativo? La verdad es que no lo veo.
¿Ahora qué hacemos?
- Por un lado, existe la posibilidad de solicitar a estos “proveedores de servicios norteamericanos” que, si no quieren que interrumpamos nuestra actividad con ellos, garanticen que el almacenamiento de nuestros datos tiene lugar en suelo europeo. Esto se puede considerar una lucha de David contra Goliat, aunque si estos proveedores empiezan a encontrarse problemas de este tipo, digo yo que desarrollaran algún tipo de procedimiento para poder seguir ofreciendo sus servicios en suelo europeo.
- También podemos acreditar que todos y cada uno de nuestros clientes gestionados en estas plataforma han dado su consentimiento para su tratamiento….ahora bien debemos poder demostrar la autorización dada.
- Si los proveedores no nos hicieran caso, ni garantizaran la privacidad de nuestros clientes, podríamos importar los datos a empresas que nos ofrezcan servicios parecidos en suelo europeo. Sería cuestión de buscar y comparar…
Y ya para acabar
En el supuesto de que firmemos con estos proveedores clausulas tipo adoptadas por la UE y que acreditemos la autorización dada por nuestros clientes, tenemos que informar a la Agencia Española de Protección de Datos de la transferencia Internacional de datos y además contar con su autorización.
Nos consta que en este momento, la AEPD está requiriendo a las empresas que en su momento declararon transferencias internacionales, regularicen su situación, antes del 29 de enero de 2016.
Y ya como recomendación
Sería muy interesante e incluso más que recomendable, ponerse en contacto con Dropbox y Google Apps para saber si van a tomar cartas en este asunto y garantizar la seguridad para sus usuarios.
De todos modos es del todo inviable, que la AEPD prohíba a las pequeñas y medianas empresas, el uso de estas herramientas ya que supondría una pérdida de competitividad y la verdad es que no estamos para muchas bromas.
¿Necesitas alguna aclaración extra?
Llámanos: ✆ 94 655 4089
Escríbenos: administracion@grupodatcon-norte.com