Els serveis cloud tracten correctament les dades personals?

Escrit per Joaquin Albert en 2016-11-15T10:38:39+01:00

Topics: Technical Security Office


A les empreses que gestionen dades personals i que facin ús de serveis d’una empresa nord-americana els afecta el nou Acord de l’Escut de la privacitat. Aquest acord pretén regular el tractament correcte de les dades personals europees allotjades en territori nord-americà.

El 29 de febrer de 2016, la Comissió Europea va publicar un comunicat i una proposta de decisió d’adequació amb textos annexos que constitueixen un nou marc per a la definició dels intercanvis transatlàntics de dades de caràcter personal amb finalitats comercials: l’Escut de la privacitat (PrivacyShield) entre la UE i els Estats Units d’Amèrica, que pretén substituir l’anterior acord de port segur (SafeHarbor) nord-americà, invalidat pel Tribunal de Justícia de la Unió Europea (TJUE) el 6 d’octubre de 2015, en el cas Schrems.

Després de 2 anys i mig de negociacions, el 12 de juliol de 2016 s’adoptà el nou acord de l’Escut de la privacitat, que entre altres coses vol desenvolupar una protecció efectiva dels drets dels ciutadans europeus. Bàsicament:

  • Oferir nous controls respecte a l’accés a les dades personals.
  • Oferir als usuaris el dret d’exercir accions legals contra les empreses que facin ús de les seves dades de manera inadequada.
  • Imposar obligacions més estrictes a les empreses nord-americanes.

L’acord defineix unes obligacions rigoroses i mecanismes de supervisió per garantir que només es podran retenir les dades personals que es requereixin per al desenvolupament de les seves funcions durant un temps limitat, el temps en què contribueixin a la finalitat per a la qual foren recopilats.

Es pretén, d’aquesta manera, oferir garanties equivalents a les adoptades per les autoritats europees de protecció de dades. A tall d’exemple, requereix la creació d’un nou Defensor de l’Usuari (PrivacyShieldOmbudsperson), que tractarà les reclamacions relatives a l’accés per part de les autoritats d’intel•ligència nord-americanes.

D’altra banda, una empresa o un individu que s’aculli a l’Escut de la privacitat no podrà transferir dades de ciutadans europeus a una altra companyia que no s’aculli a la normativa. El Departament de Comerç nord-americà permet la inscripció a l’acord a partir de l’1 d’agost de 2016. El registre s’haurà de renovar tots els anys.

Empreses com ara Google, Facebook i Microsoft ja s’han acollit a l’Acord de l’escut de la privacitat

Com ens afecta, a les empreses? Les empreses i persones individuals que usin serveis d’una empresa nord-americana que faci el tractament de les dades personals en aquest país només hauran de revisar que aquesta empresa es troba en el llistat de l’Acord de l’escut de la privacitat.

Si es tracten dades personals amb el suport d’una empresa nord-americana i aquesta no s’acull a l’Escut de la privacitat en un període de temps prudencial, llavors, com a propietaris de les dades, estem obligats a sol•licitar l’autorització d’una transferència internacional de dades al director de l’Agència Espanyola de Protecció de Dades (AEPD) per tal de dur a terme el transvasament d’informació d’un país a un altre mitjançant el procediment de transferència internacional de dades establert a aquest efecte.

L’AEPD encara no s’ha pronunciat sobre aquest assumpte i s’espera que doni una pauta ben aviat per orientar les empreses i individus. En aquest sentit, es poden consultar les últimes consignes al web de l’AEPD.

Mentrestant esperem que les empreses nord-americanes amb les quals treballem i que actuen com a encarregades del tractament de les nostres dades personals s’adhereixin a l’Acord al més aviat possible.