Las empresas españolas deberán cumplir con los nuevos requerimientos en el alojamiento de datos de carácter personal fuera de la UE antes del 29 de enero de 2016
El pasado 8 de octubre el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia que anulaba la Decisión de la Comisión que consideraba seguras las transferencias internacionales de datos de carácter personal con Estados Unidos en base al acuerdo llamado Puerto Seguro.
En respuesta a esta sentencia del TJUE, la Asociación Española de Protección de Datos (AEPD) ha anunciado que, antes del 29 de enero de 2016, las empresas españolas deberán cumplir con los nuevos requerimientos de intercambio de datos de carácter personal alojados fuera de la Unión Europea.
¿Qué cambios implica esta sentencia?
De ahora en adelante, las transferencias de datos de carácter personal desde la Unión Europea a plataformas alojadas en Estados Unidos no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro, ya que se considera que hace prevalecer la seguridad nacional, el interés público o el cumplimiento de las leyes estadounidenses sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para ejercer la tutela de esos derechos.
¿Qué deben de hacer las empresas españolas?
Si la empresa trabaja con entidades norteamericanas que se acogen al Puerto Seguro, debe solicitar a éstas que adapten sus políticas a los nuevos requerimientos de la AEPD de intercambio de datos de carácter personal alojados fuera de la Unión Europea; esperar a que estos proveedores realicen los cambios; y notificar a la AEPD al respecto.
La segunda opción es trasladar las plataformas donde la empresa aloja estos datos de carácter personal a un proveedor español o europeo, que cumpla ya con dichos requisitos de alojamiento de datos establecidos por la LOPD y el TJUE.
De este modo, la empresa se asegura el cumplimiento de la normativa vigente, no solo ante esta sentencia, sino ante futuras sentencias que puedan aparecer fruto del contraste entre los marcos legales europeo y estadounidense en materia de protección de datos.
¿Qué puede ocurrir si no se siguen estas directrices?
Según el artículo 44.4 de la LOPD, constituye una falta muy grave “la transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria”.
Aunque, a raíz de la polémica despertada por su primera comunicación, la AEPD, ha publicado un nuevo comunicado en el que recuerda que su fin no es sancionar sino velar por el cumplimiento del marco legal vigente en materia de protección de datos, es evidente que eludir estas nuevas directrices supone no cumplir con el marco legal vigente y, por lo tanto, quedar expuesto a posibles sanciones económicas, así como a un deterioro de la reputación de la empresa ante sus clientes.
Contenidos relacionados: