REQUERIMIENTO DE LA AEPD A USUARIOS DE DROPBOX, GOOGLE DRIVE, MAILCHIMP

La Agencia Española de Protección de Datos (AEPD) ha dirigido un escrito a empresas que realicen transferencias internacionales de datos, y en concreto se les requiere “para que, a la mayor brevedad, y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos”.

Todo ello tiene su origen en la Sentencia del pasado 6 de octubre del Tribunal de Justicia Europeo declarando nulo el Safe Harbour o Puerto Seguro, un acuerdo por el que las empresas tecnológicas estadounidenses podían transferir datos de sus usuarios europeos a EEUU. El TJUE consideraba en su dictamen que “una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas [de los usuarios] lesiona el derecho fundamental al    respeto de la vida privada“.

En el escrito dirigido a las empresas por la Agencia se instaba a la adopción de medidas, fijando la fecha señalada. La aparición en diversos medios de comunicación de interpretaciones de esta noticia ha obligado a la propia Agencia a emitir un comunicado en el que explica que no se trata de un “ultimátum” – cuando en realidad sí existe una fecha límite para cumplir las nuevas exigencias en tratamiento de datos, el 29 de enero. La AEPD asegura además que tampoco “ha requerido a los responsables dejar de utilizar determinados servicios de almacenamiento en la nube“. La situación por el momento puede calificarse de un poco surrealista, con una normativa de difícil aplicación. Así, mientras las grandes empresas como Google, no tendrán inconveniente en incluir en su “letra pequeña” autorizaciones para el almacenamiento, las pequeñas empresas se verán con problemas para cumplir los requisitos legales.

La Agencia plantea el cumplimiento de la normativa por tres sistemas: las excepciones contempladas en el artículo 34 de la LOPD, la inserción de Cláusulas Contractuales Tipo, homologadas por la Comisión Europea y el conocimiento de la Agencia. Señala, en cuanto a este último punto la obligación de cumplimiento ya señalada.

Ante toda esta confusión, no exenta de dificultad para su puesta en práctica aconsejamos que para la utilización de estas herramientas informáticas se recabe la autorización de los clientes, además de esperar el desarrollo que la propia Agencia de Protección de Datos realizará.