¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour?

¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbour? | Eurovima Consulting S.L.

Social Network Stock Photo.
Photo by suphakit73 in FreeDigitalPhotos.net

Ayer, 6 de octubre de 2015, se conoció la sentencia del Tribunal de Justicia Europeo (TJUE) que invalida el acuerdo que permitía transferir datos de usuarios europeos a servidores ubicados en EEUU, en base al acuerdo de «puerto seguro o Safe Harbour«.

El motivo es que las empresas que operan en EEUU no garantizan, o mejor dicho, la normativa y la práctica de las actividades de los servicios de información de Estados Unidos (NSA), no garantizan un nivel adecuado de protección de los datos personales transferidos.

En primer lugar veamos en que consiste el acuerdo de «puerto seguro o Safe Harbour”

Este acuerdo permitía que las empresas ubicadas en los EEUU pudieran recibir y tratar los datos personales transferidos desde entidades Europeas, en base a la certificación de cumplimiento de requisitos que garantizasen el tratamiento conforme a la directiva Europea.

Mediante su adhesión, estas empresas pasaban a ser consideradas como garantes de un nivel adecuado de protección de los datos personales transferidos de Europa a EEUU.

La denuncia que lo desata todo, y los antecedentes que la motivaron.

Todo empieza a raíz de la denuncia de Max Schrems, ciudadano austriaco, usuario de Facebook, cuyos datos (como los de todos nosotros) se transfieren de la filial irlandesa de la red social a servidores situados en territorio EEUU, donde son objeto de tratamiento. El sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, tras las revelaciones realizadas por Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos, sus empresas no podrían garantizar una protección suficiente de los datos transferidos a ese país, motivadas por las actividades de vigilancia de sus autoridades.

Aunque hemos dicho que todo empieza con la denuncia, la verdad es que comienza en el momento en que, caen las torres gemelas en los desgraciados atentados del 11S, y EEUU implanta un sistema de vigilancia y control sistemático de la información en base a “La Ley Patriota” o “USA PATRIOT Act”. Ante el eterno dilema de elegir entre seguridad y derechos constitucionales, se optó por restringir derechos para garantizar la seguridad nacional.

Posteriormente, la lucha entre EEUU y la UE por el control de la privacidad, a raíz del cariz que el caso PRISM y SNOWDEN alcanzó, convirtiéndose en un espionaje masivo, la canciller alemana, Angela Merkel, manifestó hace apenas 2 años, su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

En definitiva: ¿Qué pasa con mis datos personales y los de las empresas que tenga sus datos alojados en EEUU (Cloud)?

Aunque veremos cómo se aplica, pues la decisión del Tribunal de Justicia Europeo no prohíbe de manera automática transferir datos de usuarios desde Europa a EEUU, pero sí que da vía libre para que los países miembros de la UE decidan si ese acuerdo es ilegal o no en cada país.

La sentencia afectará sobre todo A NUESTRAS EMPRESAS, en la medida en que tengamos nuestros datos en servicios de la nube o cloud computing, algo muy habitual dadas sus múltiples ventajas, y en menor medida a las tecnológicas estadounidenses con presencia en Europa, como Facebook, Google, Microsoft, Amazon, Apple, Dropbox, etc. pues seguramente terminarán cumpliendo con la simple modificación de sus políticas de privacidad.

Nuestros datos personales, los que nosotros proporcionamos a las grandes compañías, como decimos siempre, los ofrecemos a cambio de la gratuidad de sus servicios y aceptaremos cualquier clausula que nos impongan, viajarán a los EEUU y allí serán tratados, sin “garantías”, pero al fin y al cabo tampoco tenemos nada que esconder, ¿verdad?

Veremos qué pasos dan las autoridades de control europeas y que base jurídica normativa alternativa se presenta, si es que se presenta, o se traduce en una nueva versión de dicho acuerdo o en el futuro, deseado y anhelado nuevo Reglamento General de Protección de Datos se hiciese alguna referencia.

De momento os dejamos la sentencia, y las notas de prensa de la AEPD y del Tribunal de Justicia de la Unión Europea.

3 comentarios
  1. Aurelio Martínez Ferre
    Aurelio Martínez Ferre Dice:

    El problema, pasa no tanto a nivel particular, o doméstico. En mi opinión es mas grave, y debíamos tener más cuidado, cuando una pyme, o negocio decide guardar sus datos en la nube, sin averiguar previamente donde se encuentran los servidores.
    Todos conocemos dropbox, google drive, one drive…

    Responder
    • Rafael Varela
      Rafael Varela Dice:

      Gracias Aurelio por tu comentario. Sí, lo cierto es que hay que diferenciar claramente cuando estamos en una esfera o ámbito privado de uso, de cuando estamos accediendo y usando servicios en la nube de manera profesional.
      Sobre mis datos decido yo, pero sobre los de mis clientes, contactos, usuarios, empleados no solo decide la empresa y eso muchos todavía no lo tienen claro o prefieren no darse cuenta. En todo caso, es una cuestión que no les exime de responsabilidad.
      Gracias, un saludo

      Responder

Trackbacks y pingbacks

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ACEPTO recibir comunicaciones comerciales de EUROVIMA

He leído y acepto la Política de privacidad

Los datos de carácter personal que nos proporciones serán tratados por EUROVIMA CONSULTING, S.L. (EUROVIMA) como Podrás ejercer tu derecho a revocar el consentimiento, solicitar el acceso, rectificación o supresión, la limitación de su tratamiento u oponerse (si hay interés público o interés legítimo) y/o el derecho de portabilidad. En todos los casos podrá ejercer sus derechos por correo electrónico dirigido a rgpd @eurovima.es indicando la referencia “Protección de Datos”. En la solicitud debe constar: Nombre, apellidos y fotocopia de tu DNI, petición en la que se concreta tu solicitud y domicilio a efectos de notificaciones. Cualquier persona puede presentar una reclamación ante la Agencia Española de Protección de Datos a través de la web www.agpd.es en caso de considerar que sus derechos no han sido satisfechos.