¿Debemos dejar de utilizar servicios como Mailchimp, Dropbox, Google drive…?
En resolución del pasado 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválida la Decisión de la Comisión 2000/520/CE que declaraba adecuado el nivel de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro.
El Convenio de Puerto Seguro permitía que las empresas europeas pudieran contratar servicios a compañías estadounidenses – país que, recordemos no cuenta con una legislación en materia de protección de datos equivalente a la de los países europeos – que suscribieran voluntariamente dicho Convenio firmado entre la Comunidad Europea y EEUU.
El TJUE falló pues, que EEUU no garantiza la protección de datos de carácter personal y destacaba entre sus argumentaciones que la legislación estadounidense hace prevalecer incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” – USA Patriot Act – por encima de los derechos fundamentales a la intimidad y la protección de datos, sin que los ciudadanos europeos dispongan de ningún medio que les garantice la tutela efectiva de sus derechos.
El origen de esta resolución se halla en la denuncia de un estudiante austríaco de derecho que observó ya en 2008 que Facebook ignoraba la normativa europea en materia de protección datos y dedicándole su tesis de fin de curso. Fue en 2011, al estallar el caso Snowden, cuando decidió presentar batalla legal contra Facebook.
La resolución del TJUE, no obstante, dejaba en manos de las Autoridades nacionales de control de cada país – en España, la Agencia Española de Protección de Datos (AEPD) – la decisión de suspender la aplicación del sistema de puerto seguro y por tanto la transferencia de datos.
La AEPD se pronunció el 29 de octubre indicando que, en el marco de una actuación conjunta de las Autoridades europeas de protección de datos, establecía un plazo de 3 meses para que las empresas que utilizaban Puerto Seguro para la realización de transferencias internacionales modificasen la base legal sobre las que realizan las transferencias o finalizasen las mismas. Ese plazo ha finalizado el pasado 29 de Enero.
Ello daba tiempo, asimismo, a que las compañías estadounidenses “movieran ficha” – pues están jugándose todo el mercado europeo – ofreciendo una solución a sus clientes.
Con el Convenio de Puerto Seguro “fuera de juego”, la utilización de estos servicios prestados por compañías estadounidenses debe tratarse plenamente como transferencias internacionales a países que no proporcionan una protección adecuada en materia de protección de datos, para las que la Ley prevé:
1.- Utilizar las Cláusulas contractuales tipo adoptadas por las Decisiones de la Comisión Europea y solicitar la autorización de la AEPD a la transferencia internacional de datos. (Problema: El usuario de los servicios de estas grandes compañías no tiene ningún tipo de poder de negociación a la hora de fijar las condiciones contractuales; por tanto está a expensas del contrato que quiera proporcionar la compañía estadounidense).
2.- Poderse aplicar alguna de las excepciones del artículo 34 de la LOPD (entre las que se halla obtener el consentimiento inequívoco del afectado).
Las noticias que nos llegan es que, por ejemplo, las solicitudes de autorización realizadas en este tiempo por usuarios para el uso de Mailchimp han sido sistemáticamente rechazadas por la AEPD.
Ante esta situación y finalizada la cobertura que daban los 3 meses de plazo, ¿Qué opciones tienen las compañías que han venido utilizando servicios como Mailchimp (conteniendo emails considerados dato de carácter personal) o servicios Cloud (almacenando datos de carácter personal) como Dropbox, Google Drive, etc …?
En muchos casos la solución más práctica y sencilla puede ser buscar y utilizar servicios equivalentes prestados por compañías del ámbito de la Unión Europea. En otros la migración de los datos puede ser costosa.
También sería factible optar por la obtención del consentimiento inequívoco de los afectados, si podemos incluirlo en las cláusulas contenidas en los contratos o formularios de alta de nuestros servicios, pero ello solo solucionaría una parte del problema, pues estaríamos recogiendo la autorización de afectados nuevos, pero no de los ya existentes. Habría que buscar también una vía para obtener el consentimiento de los ya existentes.
La obtención de la autorización por parte de la AEPD se presenta “verde” todavía y depende del contrato – sobre los que, recordemos, los usuarios no tienen ninguna capacidad de negociar – que nos proporcione el proveedor del servicio. El rechazo de la AEPD a la solución propuesta por Mailchimp a sus clientes es buena prueba de ello. También es posible que algunos proveedores de servicios opten por otras vías, como podría ser decisión de trasladar servidores a suelo europeo y circunscribir el almacenamiento de los datos exclusivamente a ellos.
Finalmente, con fecha 2 de Febrero ha sido comunicado oficialmente el hecho de que la Comisión Europea y EEUU han acordado iniciar los trabajos para poner en marcha un nuevo marco regulatorio para la transmisión de datos entre estos países, que proteja los derechos fundamentales de los europeos y garantice la seguridad jurídica de las empresas. Una opción que venía siendo reclamada por las empresas estadounidenses, pero que va a requerir de tiempo.