Multas por usar Mailchimp, Dropbox, Google Drive

Fecha de publicación: 29/12/2015

 Multas por usar Mailchimp, Dropbox, Google Drive

Hola amigos, desde Crespo & Ruiz Abogados queremos hablaros sobre la Ley Orgánica de Protección de Datos (LOPD). Como muchos sabéis el pasado 6 de octubre, el Tribunal de Justicia de la Unión Europea (TJUE) anuló la forma en la que procedía la transferencia de datos personales entre UE y EEUU que hasta hora se realizaban bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).

 

La razón es que en Europa, la ley de protección de datos es mucho más fuerte que en otros lugares del mundo, y por lo tanto los datos personales que son transferidos fuera deben ser protegidos con la misma eficacia con la que se protegen dentro de esta. Esto supone que las entidades que operen en la UE no están autorizadas a realizar transferencias de datos personales a países donde el nivel de protección no cumpla con esta legislación.

 

Desde el año 2000 estos datos eran transferidos bajo los principios internacionales Safe Harbor, que obligaba a las entidades de EEUU a cumplir con los tratados de transferencia de datos de carácter personal si querían manipular datos de ciudadanos de la UE, o a denegar el envío, en caso de no cumplir con estos. Al parecer estos requisitos han sido incumplidos por alguna de las agencias Norte Americanas. Para proteger los datos personales, y como es natural, el pasado 6 de octubre El Tribunal de Justicia de la Unión Europea (TJUE), decidió intensificar las condiciones para exportar datos personales de los ciudadanos Europeos.

 

La Agencia Española de Protección de Datos (AEPD) realizó un comunicado el pasado 29 de octubre anunciado que, junto con las Autoridades europeas de protección de datos, contactaron con todas aquellas empresas que utilizan la Safe Harbour para realizar transferencias de datos a países donde el nivel de protección es inferior al de la Unión Europea, informando que antes del 29 de enero deben reunir una serie de requisitos si quieren continuar utilizando estos servicios de almacenamiento de datos en EEUU.

 

Son muchas y muy conocidas las empresas que utilizan o tratan con datos personales, como por ejemplo Google Apps, Dropbox, Facebook, Twitter y MailChimp entre otras. Para poder continuar con su actividad sin problemas, les será necesaria una Autorización previa de la Directora de la AEPD, salvo que se acojan a algunos de las excepciones reflejadas en el artículo 34 de la LOPD o cuando el país importador al que se le transfieren los datos cumpla con la seguridad necesaria.

 

Para realizar transferencias de datos entre un encargado (exportador de datos) establecido en España, y un subencargado (importador de datos) ubicado en un país que no cumpla los requisitos mínimos de seguridad, siempre que el exportador de datos demuestre que cuenta con las garantías necesarias para proteger la intimidad y los derechos de los usuarios cuyos datos personales serán transferidos, deberá realizar los siguientes pasos para realizar una correcta transferencia de datos.

 

Según la página oficial de la AEPD, en el caso que el importador de datos sea el responsable del fichero deberá realizar una solicitud de autorización a la Directora de la AEPD y deberá adjuntar con ella la siguiente información:

 

-Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.

-Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.

-Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

-La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los "Colectivos" y a las "Medidas de Seguridad").

Si por el contrario es el exportador de datos quien se encargue de realizar la solicitud de autorización a la Directora de la AEPD deberá adjuntar con ella la siguiente información:

-Escrito de solicitud con identificación del exportador (encargado) y del importador subencargado.

-Contrato basado en las Cláusulas Contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.

-Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español.

-Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

 

Cabe puntualizar que constituye una falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, "La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria"

Es importante destacar, que la intención de la AEPD no es que los responsables cesen su actividad con determinados servicios del almacenamiento en la nube. Simplemente se pretende informar a los responsables de los datos personales de sus usuarios, indicando que pasos que han de seguir para ofrecer un correcto funcionamiento de los servicios prestados a sus clientes, proporcionando una seguridad adaptada a la sentencia del TJUE.

También debe quedar claro que la sentencia de la TJUE está enfocada a los responsables de los datos personales de sus usuarios, y no a los ciudadanos que realizan un uso doméstico de los datos que pudiera almacenar en la nube.

Desde Crespo & Ruiz Abogados, seguiremos muy de cerca este Fallo por parte del Tribunal Europeo con tal de mantenerlos informados en la mayor brevedad posible de cualquier cambio sustancial en ella, así mismo os recomendamos que os pongáis en contacto con nuestros Abogados  tanto en Barcelona como en Madrid para poder aclarar cualquier duda.

 



Comentarios

    Sin comentarios por el momento

Deja tu comentario

Categorías

Copyright © Crespo Ruiz Abogados - Todos los derechos reservados - Política de privacidad de datos - Desarrollado por Interactivos