Tan solo una denuncia por parte de un particular a Facebook, solicitando a la autoridad de protección de datos irlandesa que interrumpiera la transferencia de sus datos a EE.UU., bastó para dar al “traste” con Puerto Seguro, la normativa europea aprobada en el año 2000, que permitía transferir datos a países que contaran con un alto nivel de seguridad. Y EE.UU. era uno de ellos, hasta que se demostró lo contrario. ¿El resultado? Las transferencias que se hagan a partir de ahora bajo las mismas premisas serán ilegales.
¿Cómo afecta esto a las pymes españolas? Sheila M. FitzPatrick, asesora internacional para Asuntos Legales sobre Confidencialidad y Gobernanza de Datos de NetApp nos habla de ello.
¿Qué ocurre ahora con las empresas españolas que han transferido datos personales de usuarios, empleados o clientes a servidores en EE. UU.? ¿Qué deberían hacer?
Las empresas que han confiado únicamente en Puerto Seguro, como mínimo, tienen que asegurarse de que hayan completado su inscripción en la Agencia Española de Protección de Datos e Implementar Cláusulas Contractuales Estándar aprobadas explícitamente por esta, cuyo proceso de autorización dura aproximadamente tres meses, así como obtener el consentimiento expreso e inequívoco de cada interesado.
¿Qué medidas tiene que tomar una pyme ante esta resolución? ¿Qué estrategias tendrían que seguir para cumplir con las normativas de privacidad?
Las pequeñas y medianas empresas tendrán que seguir el mismo proceso.
¿Pueden verse afectadas las pymes por los clientes que consideren que se vulnera su privacidad?
Las pymes pueden verse afectadas si no han aplicado acuerdos de protección de datos claros donde se definan los roles de los responsables del control y procesos de datos, así como la responsabilidad legal de cada rol.
¿Y los usuarios de Google o Twitter?
Estos deben ponerse en contacto con dichas compañías para obtener una declaración clara y explícita con respecto a cómo cumplen con la Ley de Protección de Datos Española. Estas compañías siempre se han basado exclusivamente en Puerto Seguro y se encuentran actualmente en una posición difícil, ya que no tienen otros mecanismos de cumplimiento de protección de datos.
¿Las empresas que internacionalizan se verán más afectadas?
Los impactos de las sentencias del Tribunal de Justicia de la Unión Europea afectan a todas las empresas internacionales con sede en los Estados Unidos, que se han basado en Puerto Seguro como único mecanismo para la transferencia de datos de la UE a los EE.UU. Ahora tendrán que redefinir su programa de privacidad y cumplir con las leyes de todos los países en los que operan, o de lo contrario se enfrentarán a sanciones severas, incluyendo litigios penales y civiles. La sentencia del TJCE no afecta a las empresas que no tienen su sede en los EE.UU. y nunca se han basado en Puerto Seguro. Safe Harbor no es pertinente fuera de la UE o de los Estados Unidos como Canadá, los países de Asia-Pacífico, etc.
¿Qué papel tiene que desempeñar la Asociación Española de Protección de Datos ahora?
La AEPD es responsable de garantizar que las empresas cumplen con la regulación española, y a su vez controlar a las compañías que no cumplan con la ley, mediante las medidas oportunas que marca la ley. Este organismo es responsable de aprobar cualquier Cláusula Contractual creada en España y de la aprobación de las Normas Corporativas Vinculantes (BCR) que se implanten en España. Las empresas también deben registrar sus procesos de datos personales con la AEPD. La AEPD tiene la responsabilidad legal, así como la autoridad para el cumplimiento de la Ley de Protección de Datos.
¿Cómo afecta a los proveedores de servicios cloud? ¿Cómo puede beneficiarse un proveedor de servicios cloud?
Los proveedores de cloud están seriamente afectados por la sentencia del TJCE, ya que muchos se han basado exclusivamente en Puerto Seguro como su mecanismo de cumplimiento. Ahora las empresas pueden prohibir el uso de un cloud para almacenar y procesar datos personales si el proveedor de cloud no cumple con la Ley de Protección de Datos española. Este tipo de proveedores tendrán que almacenar y tratar los datos personales dentro de las fronteras del Espacio Económico Europeo (EEE) y garantizar que ningún dato personal es archivado, replicado o accesible en los EE.UU. Los proveedores también tendrán que asegurarse de que no hay datos personales en el cloud que pasen a través de los EE. UU., independientemente de la ubicación del centro de datos. Igualmente, tendrán que garantizar que, en caso de que utilicen terceros para gestionar sus entornos de cloud / centros de datos, estos se encuentran en el EEE y cumplen con todas las leyes de protección de datos.
¿A cuántas empresas españolas puede afectar esta medida, aproximadamente, y de qué sectores?
Es imposible saber el número de empresas españolas que se ven afectadas, pero todas las compañías españolas que tengan su sede, sus operaciones o sean proveedores en los EE. UU. y que tengan acceso a los datos personales de los ciudadanos españoles, se verán afectadas por este fallo. La invalidación de Puerto Seguro se aplica a todos los sectores.
¿Qué ofrecen empresas como NetApp en este sentido?
NetApp ha utilizado internamente un programa de cumplimiento de los requisitos de privacidad de datos global, y por lo tanto no se ha basado en “Puerto Seguro” para el cumplimiento de los requisitos legales y no afronta actualmente ninguna necesidad de reestructurar sus políticas de seguridad y privacidad de la información.
Más allá de la información manejada internamente, nuestra apuesta tecnológica, NetApp Data Fabric, defiende que los clientes puedan tener el control de sus datos, mediante soluciones como NetApp Private Storage, aunque se decida utilizar recursos de computación en la nube.
INMA ELIZALDE
