Una reciente sentencia del Tribunal de la UE ha invalidado el acuerdo que existía con Estados Unidos en materia de transferencia de datos personales. ¿Puede esto afectar a su empresa? ¿Cómo actuar en estos casos?
Puerto Seguro
Estados Unidos. Usted utiliza los servicios de una empresa de informática que se encarga del mantenimiento de equipos, de hacer copias de seguridad, del hosting de su web, etc.
Si dicha empresa utiliza un servidor ubicado en EEUU para alojar todos estos datos, esté atento:
- Hasta ahora existía un acuerdo entre la UE y EEUU (denominado “Puerto Seguro”) que permitía las transferencias de datos personales a empresas americanas certificadas en su país como seguras en protección de datos.
- Pero una reciente sentencia anula dicho acuerdo, y considera que los niveles de seguridad que existen en EEUU a efectos de protección de datos no son equiparables a los de la UE.
Servidor. Por tanto, contacte con su proveedor y solicítele una manifestación por escrito conforme la información con datos personales de su empresa está alojada en servidores ubicados en la UE (en cuyo caso no le afecta esta sentencia). Pero si dicha información está alojada en servidores ubicados en EEUU y en ella se incluyen datos personales, usted, como titular de los ficheros con datos personales, estará realizando una “transferencia internacional de datos”, y deberá regularizar la situación.
Cómo actuar
Si están en EEUU. Si se encuentra en esta situación, sepa que se ha establecido un mecanismo para autorizar estas transferencias internacionales de datos y evitar así responsabilidades:
- La UE ha aprobado un contrato estándar que deberá ser firmado con la empresa titular del servidor ubicado en EEUU.
- La transferencia internacional de datos deberá ser autorizada por la Agencia Española de Protección de Datos (AEPD). Si en la comunicación a este organismo adjunta el contrato sin ningún cambio, dicha autorización se entiende concedida automáticamente.
Acreditado. Por tanto, solicite a la empresa informática que le acredite que ha cumplido estos requisitos (puede solicitar, por ejemplo, la autorización obtenida de la AEPD para transferir datos).
Utilizo software gratuito
Mejor en la UE. Si su empresa no subcontrata estos servicios y utiliza directamente software gratuito (de alojamiento en la nube, de gestión de correo electrónico...), es recomendable que no lo haga para alojar datos personales (salvo que haya obtenido el consentimiento de los afectados o esté amparado en alguna de las excepciones previstas en la ley). ¡Atención! Y si lo utiliza para este fin, lo mejor es que utilice software que le garantice que los servidores están ubicados en la UE (en las condiciones de uso del servicio debería indicarse dónde se encuentran los servidores). Si los servidores están en EEUU, le será complicado gestionar la firma del contrato antes indicado.
Finales de enero. Piense que a partir de febrero puede que la AEPD inspeccione a las empresas de la UE que envíen o alojen datos personales en EEUU sin las debidas garantías, por lo que conviene estar atento y actuar con celeridad.
Si su proveedor de servicios informáticos utiliza servidores ubicados en Estados Unidos, verifique que ha firmado un contrato tipo con las empresas titulares de dichos servidores, y que lo ha comunicado a la Agencia Española de Protección de Datos.
Compartir en
|