¿Los servicios cloud tratan correctamente los datos personales?

Escrito por Joaquin Albert en 2016-11-15T09:38:39Z

Topics: Technical Security Office , Cloud-Native Applications


A las empresas que gestionan datos personales y que hagan uso de servicios de una empresa estadounidense les afecta el nuevo Acuerdo del Escudo de la Privacidad. Este acuerdo pretende regular el correcto tratamiento de los datos personales europeos alojados en territorio estadounidense.

El 29 de febrero de 2016, la Comisión Europea publicó un comunicado y una propuesta de decisión de adecuación con textos anexos, que constituyen un nuevo marco para la definición de los intercambios transatlánticos de datos de carácter personal con fines comerciales: el Escudo de la privacidad (Privacy Shield) entre la UE y los Estados Unidos de América, que pretende sustituir el anterior acuerdo de Puerto Seguro (Safe Harbor) estadounidense invalidado por el Tribunal de Justicia de la Unión Europea (TJUE) el 6 de octubre de 2015, en el caso Schrems.

Tras 2 años y medio de negociaciones, el 12 de julio de 2016 se adoptó el nuevo acuerdo del Escudo de la privacidad, que entre otras cosas quiere desarrollar una protección efectiva de los derechos de los ciudadanos europeos. Básicamente:

  • Ofrecer nuevos controles respecto al acceso a los datos personales.
  • Ofrecer a los usuarios el derecho de ejercer acciones legales contra las empresas que hagan uso de sus datos de manera inadecuada.
  • Imponer obligaciones más estrictas a las empresas estadounidenses.

El acuerdo define unas obligaciones rigurosas y mecanismos de supervisión para garantizar que sólo se podrán retener los datos personales que se requieran para el desarrollo de sus funciones durante un tiempo limitado, el tiempo en que contribuyan a la finalidad para la que fueron recopilados.

Se pretende, de este modo, ofrecer garantías equivalentes a las adoptadas por las autoridades europeas de protección de datos. A modo de ejemplo, requiere la creación de un nuevo Defensor del Usuario (Privacy Shield Ombudsperson), que tratará las reclamaciones relativas al acceso por parte de las autoridades de inteligencia estadounidenses.

Por otra parte, una empresa o un individuo que se acoja al Escudo de la privacidad no podrá transferir datos de ciudadanos europeos a otra compañía que no se acoja a la normativa. El Departamento de Comercio estadounidense permite la inscripción en el acuerdo a partir del 1 de agosto de 2016. El registro se deberá renovar todos los años.

Empresas como Google, Facebook y Microsoft ya se han acogido al Acuerdo del Escudo de la Privacidad

¿Cómo nos afecta a las empresas? Las empresas (y personas individuales) que usen servicios de una empresa estadounidense que haga el tratamiento de los datos personales en este país sólo deberán revisar que esta empresa se encuentra en el listado del Acuerdo del Escudo de la Privacidad.

Si se tratan datos personales con el apoyo de una empresa estadounidense y ésta no se acoge al Escudo de la privacidad en un período de tiempo prudencial, entonces, como propietarios de los datos, estamos obligados a solicitar la autorización de una transferencia internacional de datos al director de la Agencia Española de Protección de datos (AEPD) para llevar a cabo el trasvase de información de un país a otro mediante el procedimiento de transferencia internacional de datos establecido a tal efecto.

La AEPD todavía no se ha pronunciado al respecto y se espera que dé una pauta en breve para orientar a empresas e individuos. En este sentido se pueden consultar las últimas consignas en la web de la AEPD.

Mientras tanto, esperamos que las empresas estadounidenses con las que trabajamos y que actúan como encargadas del tratamiento de nuestros datos personales se adhieran al Acuerdo lo antes posible.