Como explicamos el pasado 7 de octubre, la Decisión que permitía el acceso a datos personales responsabilidad de empresas europeas por parte de algunas empresas estadounidenses sin necesidad de autorización del Director de la AEPD (o su equivalente en cada Estado miembro), fue anulada por el Tribunal de Justicia de la Unión Europea (TJUE).

La primera reacción de la AEPD fue informar de que iban a valorarlo con el resto de autoridades europeas para definir una respuesta y actuación coordinada.

Tras unos días de análisis se ha publicado el primer pronunciamiento conjunto de las autoridades europeas de protección de datos:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_19-ides-idphp.php

Destacamos a continuación los puntos que consideramos más relevantes de esta nota:

• Cualquier transferencia internacional que aún se esté efectuando bajo el paraguas dePuerto Seguro es ilegal.

• Las autoridades europeas deben negociar con las estadounidenses un nuevo acuerdo que permita reanudar estos flujos internacionales de datos.

• No obstante, cualquier nuevo acuerdo tendrá que ir acompañado de compromisos claros y vinculantes para evitar accesos masivos e injustificados a la información por parte de las autoridades estadounidenses (algo que previsiblemente dificultará el acercamiento de posturas).

• Además, se pone fecha límite para alcanzar el nuevo acuerdo: finales de enero de 2016 (fecha que, tanto por su imprecisión como por su aparente arbitrariedad, podría señalarnos la fecha de aprobación y publicación del Reglamento Europeo de Protección de Datos que lleva casi 4 años en elaboración).

• Mientras tanto, las transferencias internacionales a USA autorizadas por el Director de la AEPD (y sus equivalentes), así como las normas corporativas vinculantes (BCRs por sus siglas en inglés), seguirán vigentes (pero no las transferencias internacionales amparadas en Puerto Seguro).

• Pasada la fecha límite para alcanzar un nuevo acuerdo (finales de enero de 2016), se tomarán medidas coordinadas para la aplicación de la Ley.

Si bien no se especifica a qué se refieren con esto, podemos enunciar algunas teorías:

o Suspender todas las transferencias internacionales a USA autorizadas por el Director de la AEPD (y sus equivalentes), así como las citadas BCRs (cuando involucren empresas estadounidenses).

o Actuar de oficio para imponer sanciones a las empresas que no hayan regularizado las transferencias internacionales a USA (anteriormente Puerto Seguro).
Pensamos que no se iniciarán procedimientos sancionadores hasta esta fecha, al menos de oficio (puede que sí se inicie alguno si hay denuncia previa de algún afectado).

¿Cómo solucionar el problema?

No hay soluciones fáciles.

Lo primero es identificar si existe algún flujo de datos personales con empresas estadounidenses que estuviese amparado en la Decisión de Puerto Seguro (un alojamiento, un SaaS, o incluso un mero acceso remoto).

Algunos de los proveedores más potentes en Internet están en este caso: Mailchimp, Sendgrid, Dropbox, Google, Facebook, Salesforce, Amazon (USA), etc.

Una vez identificados estos flujos, ante esta situación tan impredecible, nuestra primera recomendación es que, en la medida de lo posible, todos los datos personales sean alojados en el Espacio Económico Europeo, y no se permitan accesos remotos desde otros países.

Cuando ello no sea posible, habrá 2 posibles soluciones:

1. Pedir autorización al Director de la AEPD para mantener el servicio, alojamiento o acceso remoto.

Para pedir esta autorización, es necesario que la empresa estadounidense se preste a firmar un Contrato Tipo aprobado por la Comisión Europea, y que el firmante por parte de la empresa estadounidense facilite sus poderes de representación sobre la empresa, con traducción jurada al español.

Este contrato se adjuntaría a una solicitud a la AEPD junto con los correspondientes poderes de representación por vuestra parte, y se presentaría en la AEPD. La AEPD dispondría de un plazo de 3 meses para autorizar/rechazar la solicitud.

2. Pedir el consentimiento de los afectados: siendo válido tanto el consentimiento expreso, como el consentimiento tácito (falta de oposición en el plazo de 30 días hábiles después de haber informado a los afectados)

Como veis, ninguna de las soluciones es fácil ni está exenta de cierto riesgo, por lo que volvemos a recomendar que, en la medida de lo posible, todos los datos personales sean alojados en el Espacio Económico Europeo, y no se permitan accesos remotos desde otros países.

Nuestra opinión al respecto:

Tengamos en cuenta que:

Como explicamos en su día, la anulación de Puerto Seguro por el TJUE responde a un problema “técnico”-legislativo. La Comisión no puede, mediante Decisión, restringir poderes conferidos por una Directiva del Parlamento Europeo.

• De hecho, todas las demás Decisiones de la Comisión Europea con respecto a los países “seguros” (Argentina, Uruguay, Canadá, Israel, Suiza, Andorra, etc.), tienen exactamente el mismo problema y podrían ser anuladas en cualquier momento.

• En resumen, las dudas sobre la seguridad de los datos en Estados Unidos y su espionaje no han sido el motivo de la anulación de Puerto Seguro.

A pesar de ello, resulta poderosamente llamativo que el pronunciamiento de las autoridades de protección de datos ni siquiera menciona este problema “técnico” y se centra exclusivamente en las dudas sobre la seguridad de los datos manejados por empresas estadounidenses.

Tomando en consideración la fijación de una fecha límite para que se produzca un nuevo acuerdo acompañado de cambios legislativos en USA, y la amenaza expresa de consecuencias legales que no se explican claramente, hacen sospechar que se pudiera estar utilizando malintencionadamente esta circunstancia para forzar un cambio en la normativa de los Estados Unidos.

Si a esto le sumamos la voluntad ya proclamada de aplicar el inminente Reglamento Europeo de Protección de Datos a las empresas que manejen datos de ciudadanos europeos, independientemente del país en que estén ubicadas estas empresas, podemos intuir unas fuertes tensiones entre la Unión Europea y los Estados Unidos, que sitúan a las empresas europeas en una situación muy delicada, además de en una gran desventaja competitiva.

En conclusión, resulta “curioso” (por no utilizar otra expresión) que la UE amenace a sus propios ciudadanos si usan servicios estadounidenses como mecanismo de presión para conseguir un cambio en la legislación de USA.

José Carlos Moratilla

Responsable del Departamento Legal

Áudea Seguridad de la Información.