Qué deben hacer las empresas para cumplir las nuevas exigencias de la AEPD

El pasado 6 de octubre, el Tribunal de Justicia Europeo dictaba una sentencia en la que establecía que la Comisión Europea había sido negligente al evaluar la seguridad del llamado Safe Harbour o Puerto Seguro, un acuerdo por el que las empresas tecnológicas estadounidenses podían transferir datos de sus usuarios europeos a EEUU. El TJUE consideraba en su dictamen que "una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas [de los usuarios] lesiona el derecho fundamental al respeto de la vida privada", y con ello declaraba nulo un acuerdo que llevaba vigente desde 2000.

Aunque las más mencionadas en los titulares al respecto fueron gigantes como Facebook, Google o Apple, las grandes perjudicadas por esta medida serían cientos de pequeñas y medianas empresas españolas y europeas, que verían cómo su actividad digital se vería afectada en lo que se refiere al uso de servicios de almacenamiento, de alojamiento de hosting o las propias redes sociales.

Una normativa que permite a las autoridades acceder de forma generalizada a las comunicaciones lesiona el derecho fundamental al respeto de la vida privada

La Agencia Española de Protección de Datos (AEPD) ha enviado una comunicación a muchas de esas empresas, en la que les recuerda las consecuencias de la sentencia: si el acuerdo de Puerto Seguro no cumple con el nivel adecuado de protección de transferencias de datos, "esas transferencias no pueden ampararse en esa base legal". Con el 29 de enero como fecha tope, tendrán que adecuarse al nuevo marco. De no hacerse, podrán iniciarse las acciones que desemboquen en "la suspensión temporal de las transferencias".

Para que esas transferencias con empresas basadas en Estados Unidos puedan continuar, las compañías españolas tendrán que cumplir una serie de requisitos establecidas en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). En la práctica, esto se traduce en una serie de trámites más o menos complicados que dependerán de cada empresa y de los servicios que empleen.

Cómo cumplir con la normativa

El primer consejo es que elaboren una lista de todos los servicios que utilizan a cargo de compañías americanas (Facebook, Dropbox, Google Apps o Flickr por mencionar solo algunos ejemplos), y aquí empieza la parte compleja: tendrán que conseguir que cada una de esas empresas firme un contrato en el que se comprometa a tratar los datos de acuerdo con la legislación europea, así como un certificado de poderes que acredite que la persona que firma el contrato tiene las competencias para hacerlo.

David Maeztu, abogado especializado en derecho de internet, reflexiona sobre la problemática que puede suponer este punto en algunos casos, ya que en materia de acceso de las autoridades a los datos personales, la legislación estadounidense y la europea son incompatibles en algunos puntos. Sin embargo, según su experiencia hasta ahora, este punto se está consiguiendo, sobre todo con las empresas medianas, aunque resulta más complicado con las grandes tecnológicas.

Cabe destacar que Google cuenta desde hace tiempo con un contrato de este tipo que pone a disposición de las empresas a las que da servicios, y que es válido para este punto. En cuanto a las incompatibilidades legales, Maeztu señala que una solución que se está planteando, aunque requerirá de cierto tiempo y desarrollo tecnológico, es la creación de nubes isla, es decir, multinacionales con almacenamiento en la nube separado por países o por zonas legales, en las que la legislación se adapte a cada una de ellas.

Una vez obtenido el contrato, habrá que enviar los documentos, con su traducción jurada a la AEPD, para conseguir la autorización de la directora de la agencia, lo que puede suponer "un cuello de botella administrativo", explica Maeztu. Aunque no imposible, sí puede resultar complicado cumplir con estos trámites antes del 29 de enero.

"Si obtenemos el contrato con su correspondiente certificado de poderes y la autorización de la directora de la AEPD, habremos cumplido con el 50% del proceso", explica Pablo Burgueño, abogado de Abanlex. Para terminar, habría que avisar al usuario de con qué servicios se están compartiendo sus datos, así como asegurarse de cumplir la normativa en cuanto a cookies (esto es, insertar el famos aviso en la web y bloquear absolutamente la descarga de cookies hasta que el usuario las acepte).

Opciones alternativas

Otra opción es lograr el consentimiento informado de todos los usuarios cuyos datos se vean afectados por la medida, aunque este punto despierta algunas dudas, puesto que sería relativamente fácil de obtener para todos los datos obtenidos de ahora hacia delante, pero el TJUE anula el acuerdo desde el 2000, así que, ¿qué ocurriría con los datos ya obtenidos y compartidos?

¿Y si fuese imposible cumplir con estas dos exigencias? Como último recurso, Maeztu señala la posibilidad de cambiar de proveedores de servicio y recurrir a empresas europeas, de forma que no había discrepancia legal de ningún tipo, claro que esto excluiría por el momento a servicios que se han convertido casi en un estándar ofrecidos por Google o Facebook, aunque es de esperar que las grandes tecnológicas hagan los ajustes necesarios para seguir trabajando con las empresas europeas. En este sentido, Dropbox explica "que desde la invalidación de Safe Harbour, Dropbox ha seguido cuidosamente las guías de la Comisión Europea sobre mecanismos legales alternativos para nuestros usuarios y clientes europeos".

Igual que en otros países europeos

La situación no se da solamente en España: todos los países miembros tendrán que adaptarse tras la sentencia del TJUE. "En Alemania, por ejemplo, suelen sar más duros en lo que se refiere a interpretaciones legales", explica Maeztu. Los abogados consultados consideran que las medidas tomadas en España son razonables, con una comunicación directa a las partes afectadas y un tiempo holgado para asumir los cambios.

El no cumplimiento de la normativa podría terminar significando un procedimiento de inspección y una posible sanción económica

Esto no quita para que algunas de ellas se encuentren en una situación de confusión. Como ejemplo, está el caso de una institución educativa de la Comunidad Valenciana cuyos trabajadores utilizan Google Apps para distintas funciones, y que han compartido en redes sociales fotografías de sus alumnos, con el consentimiento de sus tutores legales.

En este momento, se ven ante la problemática de tener que dejar de usar esos servicios, o lograr los consiguientes contratos firmados por Google y las demás tecnológicas, así como la autorización de la directora de la AEPD. El no cumplimiento de la normativa podría terminar significando un procedimiento de inspección y una posible sanción económica.

Para resolver las dudas de cada caso en particular, la AEPD pone a disposición de los usuarios su servicio de consultas a través de su página web.