Puerto seguro: privacidad vs negocio

Internet IbizaSin categoría, Tecnología

El pasado día seis el Tribunal Superior de Justicia
Europeo
ha dado la razón al austríaco Max Schrems.
Este
estudiante de derecho litigaba contra Facebook en Irlanda por la
privacidad de sus datos. La decisión del TSJE deja
sin efecto los acuerdos de puerto seguro a los que se
acogían muchas empresas estadounidenses. En virtud de estos
acuerdos las empresas podían transferir datos personales de
usuarios, empleados o clientes europeos a servidores en su
país, pues se suponía que los protegían con
las mismas exigencias que la legislación europea. Estas
trasferencias son esenciales para muchas empresas
tecnológicas que basan sus modelos de negocio en la
actividad y las preferencias de sus usuarios, principalmente
aquellas que en apariencia son gratuitas pero donde el usuario es
el producto, no el servicio.

Recordamos que según la LOPD,
datos de carácter personal son «cualquier
información concerniente a personas físicas
identificadas o identificables».
Son datos de
carácter personal por ejemplo: nombres de usuarios, nombres
y apellidos, direcciones postales, números de
teléfono, DNI, formación, profesión,
números seguridad social, correos electrónicos, firma
electrónica, pruebas, diagnósticos y tratamientos
médicos, rendimiento deportivo, edad, raza,
afiliación política, cuentas en bancos, compras,
suscripciones, visitas a páginas web, direcciones IP, uso de
los servicios contratados, fotos, grabaciones de audio o videos de
cámaras de seguridad, etc.

Son también datos personales la información de
identificación personal o PII (Personally Identifiable
Information
) como intereses, gustos, geo-localización,
ADN o información biométrica, es decir, toda
información que pueda servir para averiguar la identidad,
localizar o contactar a una persona o a un individuo a
través del contexto.

La Agencia Española de Protección de Datos (AEPD)
es la encargada de autorizar las transferencias de datos
internacionales para que se garantice la misma protección de
los datos que la recogida en la LOPD. Según la
AEPD
a fecha de hoy tienen un nivel adecuado de
protección: Suiza, Canadá, Argentina, Guernsey, Isla
de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva
Zelanda. Y hasta hace unos días también
ofrecía garantías Estados Unidos con los acuerdos de
puerto seguro.

Son muchas las empresas que se acogen a los acuerdos de puerto
seguro que ahora han quedado invalidados. Con estos acuerdos
firmaban que tratarían los datos personales que
transferían desde sus filiales europeas respetando la
Directiva Europea de Protección de Datos. Pero Max Schrems
sospechó que algunas grandes empresas no lo hacían.
Por aquellos tiempos Edward Snowden desveló que la NSA
tenía acceso a los datos de Facebook y otras
compañías.

¿Qué pasa con los datos que transferían
esas empresas americanas con sede en Europa?

La decisión del TSJE obliga a la Agencia de
protección de datos irlandesa a analizar si las empresas
afectadas protegen adecuadamente los datos de los usuarios
europeos. En el caso de que haya más denuncias contra otras
empresas, tendrán que analizar cada caso las agencias
encargadas de la protección de datos en los países en
los que se produzca esa denuncia.

Esta es una decisión a favor de la privacidad de los
ciudadanos europeos
pero que afecta al modelo de negocio de
algunas empresas tecnológicas afectadas.
En particular
las redes sociales, empresas de contenidos digitales
(audiovisuales, publicaciones, video y televisión),
publicidad, portales de compra-venta, tiendas on-line, etc. Por
este motivo es posible que haya nuevos acuerdos comerciales y
diplomáticos para solucionar esta situación, pues si
los ciudadanos denuncian a cada empresa tendrían que tratar
caso por caso.

¿Afecta a las empresas españolas?

Si tu empresa tiene sede y opera en España, recoge datos
personales y los transfiere internacionalmente, debe cumplir la
LOPD. La AEPD es la encargada de inspeccionar y aprobar estas
transferencias internacionales. En esta
página de la AEPD
tienes toda la información. Un
caso particular son las start-ups que tengan sede en Europa
y en Estados Unidos o las empresas que se hayan internacionalizado
y realicen bien
cesión
o comunicación de datos bien
tratamiento de datos
a/en ese país.

¿Qué pasa si tengo contratados servicios en los
que realizo transferencia de datos personales de mis clientes a
empresas de países que no están autorizados por la
AEPD?

Si los datos personales que recoges son de clientes o
proveedores europeos has de cumplir las directivas de
protección de datos europeas de las que se hacen eco las
legislaciones nacionales. En el caso de España debes
contactar con la
AEPD
para que apruebe esa transferencia. Si es una empresa que se
acogía al tratado de puerto seguro
puede pasarle lo que
a Facebook con el estudiante austríaco y la Agencia
tendrá que decidir si autoriza la transferencia de datos o
si la suspende en el caso de que ya se haya establecido.

Y en el caso de servicios cloud o servicios
gestionados, como alojamiento web, correo electrónico o
backup ¿qué debo tener en cuenta?

Comprueba primero si los datos transferidos son datos personales
de tus clientes o proveedores europeos. Si por ejemplo haces
backup en la nube de tus cálculos de estructuras o
datos de fabricación, no son datos personales y no afecta la
LOPD. En cambio si tu página web permite el registro de
usuarios, estás tomando datos personales. Lo mismo ocurre si
usas un servicio de correo electrónico cloud para
intercambiar información con clientes y proveedores. Si tu página web
está alojada en otro país, tendrás que recabar
su consentimiento para realizar ese tratamiento, indicando el lugar
dónde van a ser alojados. También debes solicitar a
la
AEPD
la aprobación de esta transferencia.

¿Y si contrato servicios de big data

Muchos tratamientos de big data, en particular los
orientados a mejorar las decisiones de marketing o tratamientos
médicos se realizan con datos personales. Si piensas
contratar estos servicios a compañías no europeas o
que traten los datos fuera de Europa, además de pedir
consentimiento a los usuarios, tendrás que firmar un acuerdo
de transferencia de datos con la empresa de big data y
solicitar a la
AEPD
que autorice la transferencia.

Y ¿qué pasa cuando utilizo mis datos personales
para abrir cuentas en redes sociales o adquirir servicios de
alojamiento para mi empresa?

Si la red social o el servicio de alojamiento, como Facebook,
transfiere los datos de sus clientes a su sede en EEUU estás
en la misma situación que Max Schrems. De momento si crees
que se vulnera la privacidad de tus datos podrás ejercer tus
derechos como ciudadano.

Estos son algunos casos, en todo hay excepciones, que se pueden
plantear a raíz de la reciente decisión del TSJE. No
obstante es prudente esperar a ver qué solución toma
la homóloga a la AEPD en Irlanda y si hay más
denuncias similares de ciudadanos europeos. De momento esta
decisión refuerza la privacidad de los usuarios. Son
aún muchas las preguntas sin resolver. El tiempo dará
la respuesta.

Puerto seguro: privacidad vs negocio
¿Cuál es tu opinión?