3. 3
• El origen de “safe harbor”
• ¿cómo hemos llegado hasta aquí?
• Pero... ¿puedo utilizar dropbox en la empresa?
• Y el futuro: Privacy Shield
4. 4
• El origen de “safe harbor” → Puerto seguro
• La normativa regula la transferencia internacional de datos
(arts. 33 y 34 LOPD) fuera del Espacio Económico Europeo
(EEE)
• Hay países declarados por la Comisión Europea como
“puerto seguro”:
• Suiza, Canadá, Argentina, Israel, Andorra, Uruguay, Nueva
Zelanda, Isla Feroe, Isla de Man, Guernsey.
• Y hasta octubre 2015 → EEUU
• Estar en lista de puerto seguro es no tener que cumplir con
las exigencias para las transferencias internacionales de datos.
5. 5
• El origen de “safe harbor” → Puerto seguro
• En EEUU las grandes multinacionales estaban acogidas al
acuerdo de “safe harbor” → acuerdo declarativo donde se
comprometían a cumplir con normativa de privacidad,
6. 6
• ¿Como hemos llegado hasta aquí?
• Entonces llegó Max Schrems – activista austriaco: Schrems presentó
ante el comisario una reclamación en la que le solicitaba en sustancia que ejerciera sus
competencias estatutarias, prohibiendo a Facebook Ireland transferir sus datos
personales a Estados Unidos.Alegaba que el Derecho y las prácticas en vigor en este último país no
garantizaban una protección suficiente de los datos personales conservados en su territorio contra las actividades
de vigilancia practicadas en él por las autoridades públicas. El Sr. Schrems hacía referencia en ese sentido a las
revelaciones del Sr. Edward Snowden sobre las actividades de los servicios de información de Estados Unidos, en
particular las de la National Security Agency (en lo sucesivo, «NSA»).
• STJUE: 6 octubre 2015 anula acuerdo de la Comisión que
considera a EEUU puerto seguro → la Comisión constató que las autoridades
estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a Estados
Unidos y tratarlos de manera incompatible con las finalidades de esa transferencia, que va
más allá de lo que era estrictamente necesario y proporcionado para la protección de la seguridad nacional. De
igual modo, la Comisión apreció que las personas afectadas no disponían de vías jurídicas administrativas o
judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o
supresión.
7. 7
• ¿Como hemos llegado hasta aquí?
• Entonces llegó Max Schrems – activista austriaco: Schrems presentó
ante el comisario una reclamación en la que le solicitaba en sustancia que ejerciera sus
competencias estatutarias, prohibiendo a Facebook Ireland transferir sus datos
personales a Estados Unidos.Alegaba que el Derecho y las prácticas en vigor en este último país no
garantizaban una protección suficiente de los datos personales conservados en su territorio contra las actividades
de vigilancia practicadas en él por las autoridades públicas. El Sr. Schrems hacía referencia en ese sentido a las
revelaciones del Sr. Edward Snowden sobre las actividades de los servicios de información de Estados Unidos, en
particular las de la National Security Agency (en lo sucesivo, «NSA»).
• STJUE: 6 octubre 2015 anula acuerdo de la Comisión que
considera a EEUU puerto seguro → la Comisión constató que las autoridades
estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a Estados
Unidos y tratarlos de manera incompatible con las finalidades de esa transferencia, que va
más allá de lo que era estrictamente necesario y proporcionado para la protección de la seguridad nacional. De
igual modo, la Comisión apreció que las personas afectadas no disponían de vías jurídicas administrativas o
judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o
supresión.
9. 9
• Pero ¿puedo utilizar “dropbox”,“mailchimp”,“google apps”, etc.
en la empresa?
• Por supuesto
• Pero si lo utilizas para “almacenar” a tratar datos personales
de clientes, usuarios/as hay que tener en cuenta la normativa
de transferencia internacional de datos:
• Se necesita una Autorización del director de la Agencia
Española de Protección de Datos
• Ó excepciones a la autorización
10. 10
• Pero ¿puedo utilizar “dropbox”,“mailchimp”,“google apps”, etc.
en la empresa?
• Excepciones a la autorización (at. 34LOPD):
• a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de
tratados o convenios en los que sea parte España.
• b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
• c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la
prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
• d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
• e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
11. 11
• Pero ¿puedo utilizar “dropbox”,“mailchimp”,“google apps”, etc.
en la empresa?
• Excepciones a la autorización (at. 34LOPD):
• f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el
responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del
afectado.
• g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o
por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
• h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés
público.Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera
para el cumplimiento de sus competencias.
• i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial.
• j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro
público y aquélla sea acorde con la finalidad del mismo.
12. 12
• Pero ¿puedo utilizar “dropbox”,“mailchimp”,“google apps”, etc.
en la empresa?
• Para solicitar la autorización documentación requerida:
• Escrito de solicitud con identificación de los ficheros objeto de la transferencia
con indicación del código con el que el fichero figura inscrito en el Registro
General de Protección de Datos, así como descripción de la finalidad de la
transferencia.
• Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes
(copia original o fotocopia compulsada) y, en su caso, traducción jurada al
español .
• Poderes suficientes de los firmantes (importador y exportador), y en su caso,
traducción jurada al español.
13. 13
• Pero ¿puedo utilizar “dropbox”,“mailchimp”,“google apps”, etc.
en la empresa?
• Si eres una multinacional tienes la posibilidad de las Binding Corporate
Rules o BCR’S. Las BCR’S son normas cuya finalidad última es permitir a las
empresas multinacionales transferir datos personales del Espacio Económico
Europeo (EEE) a sus filiales ubicadas fuera del mismo de conformidad con la
normativa comunitaria y nacional de protección de datos. (nubes privadas de
multinacionales).
14. 14
• Y el futuro: Privacy Shield
• Nuevo acuerdo EEUU-EU:
• Garantías reforzadas para la transferencia internacional de
datos.
• Creación de autoridad independiente para el control de
los datos.
• Posibilidad de los ciudadanos europeos al acceso de la
Justicia de EEUU para protección datos personales
• Instrumento jurídico vivo, más allá del sistema declarativo...
• Veremos...
16. 16
• Conclusiones
• Importante decisión sobre el proveedor a elegir
• ¿Quizá mejor elección proveedor europeo?
• Si utilizamos servicios/empresas EEUU en la actualidad no
estamos en sistema Safe Harbor
• Soluciones o excepciones (por ejemplo, contar con el
consentimiento) o autorización del Director de la Agencia
Española de Protección de Datos.
• Si eres una multinacional → BCRs una buena opción
17. ¡Muchas gracias por vuestra
atención!
Jorge Campanillas
Iurismática Abogados, S.L.P.
jcampanillas@iurismatica.com
T @jcampanillas
http://creativecommons.org/licenses/by-nc-sa/3.0/es