1. ¿Qué es el cloud computing? Cuando leemos
Las herramientas asociadas al cloud computing son fáciles de usar, intuitivas y de ejecución inmediata, lo que permite la gestión del negocio y el almacenamiento y acceso de la información en la nube.
La mayor parte de empresas que ofrecen estos servicios se encuentran ubicadas en EEUU, acogidas al cumplimiento del
2. ¿Que suponía el Acuerdo de Puerto Seguro? El Acuerdo de Puerto seguro suponía que las empresas que ofrecían estos servicios garantizaban un nivel de protección adecuado en la transferencia y tratamiento de los datos personales provenientes de otros países, ajustándose a la Decisión 2000/520.
Los principios de puerto seguro se asociaban a unos principios que velaban por la <
La nulidad del acuerdo tiene su origen en que al parecer cuando se realizaban las transferencias de datos a EEUU, estos datos eran tratados de forma masiva por programas de vigilancia y no sólo por motivos de protección de la seguridad nacional, vulnerándose los derechos de una persona frente al acceso y tratamiento de sus datos personales.
3. ¿Qué ocurre si mi empresa tiene el cloud con una empresa americana que se acogía al Acuerdo de Puerto seguro? Pues la situación hasta el 29 de enero no es clara. Esta fecha es el plazo límite que se ha fijado para alcanzar un acuerdo con las autoridades estadounidenses que permitan dar una nueva cobertura legal al Acuerdo de Puerto Seguro.
De entrada y hasta que llegue la fecha, sería muy recomendable verificar que tipo de servicios y aplicaciones informáticas tenemos alojadas en el cloud, así como, evaluar los riesgos de la transferencia de los datos a EEUU en la situación actual.
Si su empresa es una gran empresa y dispone de los recursos humanos, técnicos y económicos necesarios debería cumplir con cualquiera de las siguientes obligaciones que impone la LOPD para las transferencias internacionales:
Primera opción: i) firma de un contrato donde los prestadores de servicio ubicados en EEUU se comprometen a tratar los datos dando cumplimiento a la legislación europea y traducción jurada de dicho contrato. ii) certificado de poderes que acredite que el firmante tiene facultades y su correspondiente traducción jurada. iii) envío los documentos y solicitud de autorización a la directora de la AEPD. Se trata de un procedimiento farragoso y de difícil cumplimiento lento antes de la fecha límite.
Segunda opción: Obtener el consentimiento informado del usuario para las transferencias internacionales de datos con indicación del país de destino y finalidad específica y determinada.
Tercera opción: Si la empresa es una multinacional e intercambia datos con otras empresas del grupo, se recomienda el uso de reglas corporativas vinculantes
Cuarta opción: Probar que la transferencia de datos es necesaria (alternativas): i) para la ejecución de un contrato entre el afectado y el responsable del tratamiento. ii) para la celebración o ejecución de un contrato en interés del afectado/interesado, entre el responsable del tratamiento y un tercero. iii) por motivos de interés público o para salvaguarda del interés vital del interesado.
Aunque la solución más sencilla a nuestro modo de ver, es buscar proveedores de cloud ubicados en Europa que cumplan con la normativa europea de protección de datos y el futuro Reglamento de Protección de Datos.
4. ¿Puede sancionar la AEPD a mi empresa si sigo usando un cloud con ubicación en EEUU? Se ha creado una alarma social en el sentido de que la AEPD va empezar a sancionar si no se han adoptado unas mínimas cautelas para intentar cumplir con la normativa. Su origen fue una noticia publicada en Internet de “Ultimatum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”.
La AEPD ha contestado rápidamente, afirmando que lo único que ha hecho es ponerse en contacto con los responsables para ofrecerles un canal de comunicación directa y advertirles, que en caso de no adaptarse la base legal para realizar las transferencias, se podría iniciar un procedimiento para
Por todo lo anterior y a la espera del acuerdo que puedan alcanzar las autoridades estadounidenses con la Comunidad europea, para darle una nueva cobertura legal al Puerto Seguro, aconsejamos la migración de los servicios a empresas europeas que cumplan la actual normativa y el futuro Reglamento de Protección de Datos (a punto de aprobarse). Es muy discutible que en EEUU se dejen de usar programas de vigilancia masiva de datos a raíz de las continuas alarmas de atentados terroristas.
STJUE de 6 de octubre de 2015 asunto C-362/14
Foto: morguefile by wallyir
