Dropbox, MailChimp, Google Drive y las RRSS en el punto de mira de la protección de datos

Bajan revueltas las ya de por sí procelosas aguas de la protección de datos, esta vez a cuenta de la transmisión de archivos que se realiza a través medios como Dropbox, Google Drive, MailChimp y de Facebook, Flickr, Instagram o Twitter.

computer-472016_1280

Todo empezó el pasado día 6 de octubre, cuando se publicó una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) mediante la que declaró no válida la decisión de la Comisión 200/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base legal.

Como era de prever, la respuesta no se ha hecho esperar. La Agencia Española de Protección de Datos (AEPD) a través de una carta ha indicado a las empresas que utilicen plataformas tecnológicas que transfieran datos de ciudadanos europeos a terceros países, que tienen hasta el próximo 29 de enero para cumplir con la nueva normativa. La AEPD indica, además, que en caso de no adaptarse a la normativa antes de esa fecha, las empresas serán multadas con cantidades de hasta 600.000 euros.

La transferencia de datos incluye las realizadas tanto por Dropbox, Google Drive, MailChimp, Facebook, Flickr, Instagram o Twitter, siendo muchas las empresas que pueden verse afectadas, ya que estos sistemas de transferencia de datos son muy utilizados actualmente.

En este sentido, la AEPD ha requerido a todas las compañías para que dejen de usar estos servicios, a no ser que cumplan una de las siguientes opciones:

1º Contar con la autorización del Director de la Agencia,
2º El consentimiento informado de todas las personas cuyos datos se vean afectados,
3º Utilizar alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999, como lo puede ser, por ejemplo que la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Además, la carta emitida por la AEPD centra su foco a la transmisión de datos a EE.UU, diciendo que «En el caso de que se tenga previsto continuar realizando transferencias internacionales de datos a EEUU, país que no proporciona un nivel de protección equivalente al que presta la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), deberán encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo adoptadas por las decisiones de la Comisión Europea 2001/497/CE, 2004/415/CE y 2010/87/UE y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables. En consecuencia, se le requiere para que a la mayor brevedad y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos».

En consecuencia, según se desprende de la carta de la AEPD, el próximo 29 de enero la Agencia iniciará un procedimiento contra aquellas empresas que no se hayan adaptado a la nueva normativa para suspender temporalmente sus transferencias. Esto incluye el inicio de un procedimiento de inspección y una posible sanción con multa por comisión de una infracción muy grave de protección de datos. Para notificar a la AEPD alguna de estas modificaciones, los responsables podrán hacerlo a través de la Sede Electrónica o por correo postal.

No obstante, ante la alarma que un principio se levantó, la AEPD ha emitido una nota aclaratoria indicando que “No hay pues, “vuelco” alguno en los criterios de aplicación de la ley sino simplemente la reiteración de que la información sobre las cookies debe destacarse de forma que sea visible y accesible para garantizar el objetivo esencial de que los usuarios conozcan su utilización y decidan si la consienten o no”.

Por tanto, parece ser que la sangre no llegará al rio, y no se procederá a la sanción en masa a aquellas empresas que no hayan adaptado su sistema de transmisión de datos, más aun teniendo en cuenta el gran número de empresa que los utiliza.

Sin embargo, es aconsejable buscar alternativas que garanticen la protección de datos, especialmente, aquellos sensibles. Pero todo indica que, ante el gran número de potenciales afectados, las compañías obtén por formalizar contratos que indiquen que el cliente consiente el tratamiento de datos o bien que autoriza a que sean transmitidos a empresas filiales.

En cualquier caso, se trata de un tema pantanoso y complejo para las empresas. Habrá que ver qué alternativa adoptan para adaptar su sistema de tratamiento de datos y cumplir con la normativa, y evitar, de esta manera, que el año 2016 no les coja con el pie cambiado.


Los más vistos

Lo lamentamos. No hay nada que mostrar aún.