¿Utiliza Dropbox, Drive o Mailchimp para gestionar bases de datos de personas? Tiene hasta el 29 de Enero para cumplir las nuevas directrices de Protección de Datos
La relación de servicios de gestión de bases de datos del título es «cosecha propia». Evidentemente, hay muchos más.
El caso es que muchas empresas que gestionan bases de datos de personas y que inscribieron esas bases de datos en el Registro de la AEPD en su momento, lo hicieron marcando la casilla correspondiente para avisar de que la gestión de dichas bases de datos se realizaba a través de servicios de internet cuyos servidores, la ubicación física del ordenador en el que se alojan los datos de esas personas, podrían estar situados en la UE (por tanto bajo la jurisdicción de las Autoridades Europeas) o no estarlo.
Ningún problema pues existía una decisión de la Comisión Europea por la que se establecía que el Departamento de Comercio de los EEUU (ubicación más frecuente de las direcciones legales de los gestores de estos servicios «nube») que establecía que «A los efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, para todas las actividades cubiertas por la misma, se considerará que los principios de puerto seguro, (en lo sucesivo denominados «los principios»), que figuran en el anexo I de la presente Decisión, aplicados de conformidad con la orientación que proporcionan las preguntas más frecuentes (en lo sucesivo denominadas «FAQ») publicadas por el Departamento de Comercio de Estados Unidos de América con fecha 21 de julio de 2000, que figuran en el anexo II de la presente Decisión, garantizan un nivel adecuado de protección de los datos personales transferidos desde la Comunidad a entidades establecidas en Estados Unidos de América, habida cuenta de los siguientes documentos publicados por el Departamento de Comercio de Estados Unidos de América».
El pasado 6 de octubre, el TJUE falló en contra de esta decisión apuntando a que el objetivo de la «Directiva 95/46/CE de Protección de Datos no es tanto asegurar la libre circulación de la información sino, sobre todo, garantizar el elevado nivel de protección de los derechos fundamentales consagrados por los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE».
Así que anula esos «principios» por 2 motivos:
- entiende que prevalece incondicionalmente y sin ninguna limitación «la seguridad nacional, el interés público o el cumplimiento de la ley» sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos
- no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos
Por lo tanto, las empresas que han registrado esas base de datos han comenzado a recibir comunicaciones de parte de la AEPD en las que se les da instrucciones precisas sobre los pasos a seguir.
Pero; ¿cuáles son esos pasos y qué ocurrirá ahora si una empresa desea utilizar esos servicios?
Los responsables de estos servicios de gestión de bases de datos están trabajando para ofrecer una respuesta «contractual» a sus clientes europeos en cuanto a que garantizan el cumplimiento de los principios de protección de datos. Cuando estas empresas hayan podido subsanar ese cambio en la relación entre su servicio y su cliente, cada cliente deberá comunicar a la AEPD que continua con el uso de ese servicio y donde encontrar las cláusulas que regulen la nueva relación contractual.
De no modificar ese acuerdo o no comunicar esa continuidad, la AEPD podrá entender que tales transferencias de datos han cesado; caso de que realmente no haya sido así, la Agencia podría iniciar algún tipo de procedimiento administrativo para suspender esa transferencia, aunque sea de modo temporal.
Para los nuevos o para aquellos no hayan registrado todavía esa transferencia internacional de datos, el problema es mayor; ya que no existe la posibilidad de acogerse a ese acuerdo de «Safe Harbour» desde el pasado 6 de octubre, fecha de la publicación de la sentencia del TJUE.
Tocaría esperar a que las Autoridades articulen un nuevo mecanismo al respecto; en principio en ese mismo mes de enero y que incluirá una cláusula por la que podría ser suspendido de manera «automática» (es decir, sin esperar a la sentencia del TJUE)por las autoridades europeas en el caso de que en EEUU vuelva a prevalecer la seguridad nacional sobre la privacidad de los datos de carácter personal.