30 días sin Safe Harbour: Requerimiento de la AEPD

-

Pasados 30 días de la publicación de la Sentencia del TJUE que declaró inválidos los acuerdos del Protocolo de Puerto Seguro, y tras tener conocimiento de los requerimientos que ha comenzado a remitir la AEPD, analizamos las distintas opciones existentes para dar respuesta a dicho requerimiento en el plazo requerido.

1. Antecedentes

Los principios de Puerto Seguro (o Safe harbor) servían como base jurídica que garantizaba que las transferencias internacionales de datos personales realizadas desde la Unión Europea a empresas ubicadas en EEUU y, que implicaban por tanto, un tratamiento de datos en EEUU.

El pasado 6 de octubre el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválidos dichos principios, por lo que las transferencias internacionales de datos ya no pueden ampararse en dicha base legal. (Vid Breves Octubre 2015, 24 horas sin Safe Harbor)

2. Requerimiento de la AEPD

La AEPD ha comenzado a dirigir requerimientos a aquellas entidades que tienen notificados en el Registro General ficheros con trasferencias de datos con destino a EEUU, basadas en Safe Harbor, con el objetivo de que informen acerca de la continuidad de dichas transferencias internacionales de datos; y en caso afirmativo, regularizar la situación solicitando la autorización del Director de la AEPD, así como la justificación de que se garantiza el cumplimiento de las medidas de seguridad en la transferencia de datos.

Dicha actuación no debe causar sorpresa, dado que la propia Sentencia del TJUE que invalidó los Acuerdos de Puerto Seguro permite a las Autoridades de Protección de Datos investigar transferencias basadas en dicho Acuerdo y, en su caso, declarar que una determinada TID no presenta un nivel de protección equiparable al establecido en la LOPD.

3. Plazo de respuesta

En los requerimientos el plazo de respuesta que establece la AEPD es a la mayor brevedad y en todo caso, antes del 29 de enero de 2016.

4. Servicios principalmente afectados

La respuesta debe darse en relación con los flujos de información que realiza la compañía requerida, responsable del fichero, pero es conveniente que, como indicábamos en nuestro anterior edición, se analicen también las relaciones entre compañías de un mismo grupo o al tercero proveedor o socio comercial, y las respectivas cadenas de aprovisionamiento de unos y otros para poder detectar si existe algún eslabón que venía confiando en los principios del Puerto Seguro.

Del mismo modo, conviene prestar especial atención a determinadas prestaciones de servicios que comportan la realización de transferencias de datos de carácter personal a una entidad estadounidense, tanto a nivel de proveedores de servicios directos en EEUU, como de subcontratistas de los mismos ubicados en dicho país, como por ejemplo servicios de cloud computing, software as a service, call centers, business inteligence, etc .

5. Alternativas

Con el fin de dar respuesta al requerimiento de la AEPD, conviene realizar las siguientes tareas:

  • Revisar los actuales flujos de información dirigidos a EEUU• Evaluar la necesidad e que se continúen produciendo
  • Considerar en los proyectos en fase de definición si se van a producir transferencias internacionales a EEUU,
  • Análisis de los consentimientos de los afectados y las oportunas obligaciones de información.
  • Revisar los contratos y cláusulas contractuales con terceros ubicados en EEUU.
  • Evaluar la seguridad de terceros y proveedores a los que se transfieren datos y asegurar que se adhieren a las políticas y prácticas de seguridad.
  • Solicitar y tramitar la autorización del Director de la AEPD.

Las normas corporativas vinculantes no nos parecen en este momento una alternativa favorable, dado que pueden resultar igualmente vulnerables, y de hecho, algunas autoridades nacionales de protección de datos de la UE, han desaconsejado su uso como alternativa a los acuerdos de Puerto Seguro.