miércoles, 24 de febrero de 2016

Problemas en la nube : El puerto seguro (safe harbor) ya no es seguro y hay que usar el escudo de privacidad (Privacy Shield)

El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos 
El 5 de Octubre de 2015 los servidores de datos alojados en Estados Unidos dejaron de ser seguros por dos motivos:
Entonces, ¿en qué situación quedan los datos de los clientes que han contratado o usan algún servicio en la nube (cloud) que aloja sus datos en servidores alojados en Estados Unidos?
El 16 de octubre, las 28 las autoridades nacionales de protección de datos emitieron una declaración sobre las consecuencias de la sentencia;
In conclusion, the Working Party insists on the shared responsibilities between data protection authorities, EU institutions, Member States and businesses to find sustainable solutions to implement the Court’s judgment. In particular, in the context of the judgment, businesses should reflect on the eventual risks they take when transferring data and should consider putting in place any legal and technical solutions in a timely manner to mitigate those risks and respect the EU data protection acquis.
Al seguir utilizando estos servidores se está producido una transferencia internacional de datos a un país sin las suficientes garantías y que según el art. 34 de la LOPD requeriría:
  • Autorización de la Directora de la Agencia Española de Protección de Datos.
  • Como supuesto legalmente excepcionado, Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
La primera opción sería la más discreta para los afectados, ya que la segunda requeriría contactar con todos y cada uno de sus clientes para solicitar su consentimiento expreso a dicha transferencia. Interesante problema se plantea si hay clientes que lo consienten y otros que no.
Supongo que la opción que habrá adoptado la mayoría de las empresas afectadas será simplemente esperar al sucesor del puerto seguro que ha sido bautizado como el Privacy Shield o escudo de privacidad. Evidentemente, asumen el riesgo de ser multadas o demandadas por  los afectados por esta transferencia internacional de datos no consentida. Aunque de momento las Autoridades de protección de datos han anunciado que no planean realizar acciones coordinadas de aplicación de la ley.
El 2 de febrero de 2016 se alcanzó un acuerdo político
La Comisión Europea y EEUU anuncian un acuerdo para la realización de transferencias internacionales de datos
Las 3 claves del escudo de privacidad UE-EEUU
  • Obligaciones rigurosas para las empresas que trabajan con los datos personales de los europeos y estricta aplicación:
  • Salvaguardias y obligaciones en materia de transparencia claras para el acceso de la administración estadounidense
  • Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso
Muy resumidamente, lo que hace es diferenciar los datos de los europeos del resto de individuos, garantizando: el nivel de protección requerido por la UE a los primeros.
El mismo documento anterior, indica los pasos siguientes:
El Colegio ha encargado hoy al vicepresidente Ansip y a la Comisaria Jourová que preparen un proyecto de «decisión sobre el carácter adecuado de la protección» en las próximas semanas, que pueda ser adoptada por el Colegio, previo dictamen del Grupo de Trabajo del artículo 29 y previa consulta de un comité compuesto por representantes de los Estados miembros. Mientras tanto, del lado estadounidense se realizarán los preparativos necesarios para establecer el nuevo marco y las modalidades de seguimiento y nombrar al nuevo Defensor del Pueblo.
Ahora faltan semanas hasta que se desarrolle y, mientras, los problemas en la nube se diversifican:
  • La Directiva NIS (Network and Information Security) quiere establecer un nivel de ciberseguridad homogéneo en la UE.
  • El Reglamento General de Protección de Datos será aprobado en los próximos meses y se espera que aplicable en 2018. Cambia el procedimiento establecido en la LOPD y habrá que evaluar los riesgos. Entre los cambios está la responsabilidad tanto del que recoge los datos como la del que los procesa, con multas que pueden llegar a 20.000.000 € o el 4% de la facturación anual.
Infografía cortesía del Consejo de la UE
Las nubes que se divisan en el horizonte de la UE traen cambios para el 2016 y habrá que estar atentos a las reformas de la UE relativas a la Protección de Datos.