La Agencia Española de Protección de Datos (AEPD) ha dado un ultimátum a las empresas españolas tras el fallo del Tribunal de Justicia de la Unión Europea del pasado mes de octubre. Todas aquellas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo Dropbox, Google Drive o MailChimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas.
De esta forma, la AEPD ha requerido a todas las compañías para que dejen de usar estos servicios salvo que cumplan una de estas tres opciones: contar con la autorización del Director de la Agencia, el consentimiento informado de todas las personas cuyos datos se vean afectados o utilizar alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999, como lo puede ser por ejemplo realizar una transferencia para auxilio judicial o un diagnóstico médico.
Están afectadas las empresas españolas que usan programas en la nube para guardar o tratar información con datos personales de clientes
«Con fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión Europea (TJUE), ha declarado inválida la decisión de la Comisión 200/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base legal», explica la carta enviada por la AEPD.
Límite: 29 de enero de 2016
En su carta, la APED prosigue: «En el caso de que se tenga previsto continuar realizando transferencias internacionales de datos a EEUU, país que no proporciona un nivel de protección equivalente al que presta la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), deberán encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo adoptadas por las decisiones de la Comisión Europea 2001/497/CE, 2004/415/CE y 2010/87/UE y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables. En consecuencia, se le requiere para que a la mayor brevedad y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos».
Están afectadas las empresas españolas que usan, para guardar o tratar información con datos personales de sus clientes, servicios como por ejemplo Dropbox, Google Drive, Google Apps, Google Analytics, Google Adsense, MailChimp (para gestionar el envío de emails comerciales), Facebook, Flickr, Instagram e incluso Twitter.
Según ha explicado a Teknautas el socio del despacho de abogados Abanlex, Pablo Fernández Burgueño, «si una empresa española usa, por ejemplo, un widget de Twitter en su página web o ha subido a su perfil fotografías en las que aparezcan personas identificables, podrá solicitar la autorización del Director de la Agencia Española de Protección de Datos. Para ello tendrá que presentar antes del 29 de enero un escrito de solicitud, el contrato empresa-Twitter firmado por ambas partes y una traducción jurada al español, y poderes suficientes de los firmantes, además de la correspondiente traducción jurada al español».
El próximo 29 de enero la Agencia iniciará un procedimiento contra aquellas empresas que no se hayan adaptado a la nueva normativa para suspender temporalmente sus transferencias. «Esto incluye el inicio de un procedimiento de inspección y una posible sanción con multa de 300.001 euros a 600.000 euros por comisión de una infracción muy grave de protección de datos», ha añadido Fernández Burgueño. Para notificar a la AEPD alguna de estas modificaciones, los responsables podrán hacerlo a través de la Sede Electrónica o por correo postal.
Comparativa almacenamiento online
Tabla comparativa
Servicio | Almacenamiento Gratuito (Gb) | Archivo Máximo (Gb) | Windows | Linux | Android | Ios | Mac | Safe harbor | API | Otras Características |
---|---|---|---|---|---|---|---|---|---|---|
Box | 10 | 250Mb | Si | No | Si | No | Si | No | No | |
Mega | 50 | No | Si | Si | Si | Si | Si | No se sabe | Si | Megatools |
Shared | 100 | 2 | No | No | No | No | No | No | No | |
A Drive | 50 | Desconocido | No | No | Si | Si | No | No | No | |
Ubuntu one | 5 | Desconocido | Si | Si | Si | Si | Si | No | No | |
MediaFire | 50 | 1 | No | No | Si | No | No | No | No | |
OneDrive | 7-10 | Desconocido | Si | no | Si | Si | No | Si | No | |
Dropbox | 2-18 | Desconocido | Si | Si | Si | Si | Si | Si | Si | |
Amazon CoulDRIVE | 5 | Desconocido | Si | Si | Si | Si | Si | No se sabe | No | |
Copy | 15 (+5 por usuario recomendado) | Desconocido | SI | Si | Si | Si | Si | No | No | |
Drive | 15 | No | Si | Si | Si | Si | Si | Esperemos que si | Si | |
Yandex (google ruso) | 10 | No | – | – | – | – | – | – | – | |
OVH – hubiC | 25 (100 por 1 euro, 10 tb 10 euros) | No | Si | Si | Si | Si | Si | Si | Si | The best!! |
Otras características que debemos tener en cuenta a la hora de elegir un servicio de almacenamiento online
- Encriptación. (puedo encriptar el archivo yo antes de subirlo)
- Replicación (puedo ser yo quien replique el archivo en varios puntos si el servicio no lo hace)
- Almacenamiento
- Trafico ilimitado: que no nos cobren por trafico extra.
- Api: Que podamos elaborar scripts propios para integrar el servicio de almacenamiento con nuestros programas.
- alta disponibilidad: El servicio debe estar disponible cuando lo necesitemos (lo mas cerca del 100%)
- SAFE HARBOR: El alojamiento debe cumplir los requisitos de la LOPD
Safe harbor (Más información)
Empresas que ofrecen garantías adecuadas para la protección de datos (Puerto Seguro)
Se considera que ofrecen garantías adecuadas las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor
Debe recordarse que en los casos en los que la transferencia internacional sea consecuencia de una prestación de servicios, siempre será necesario suscribir un contrato con el prestador de servicios conforme a la LOPD (FAQ núm. 10 de la Decisión 200/520/CE), y que si el prestador de servicios radicado en EEUU va a transferir los datos personales a un tercer país deberá aportar garantías por escrito para ofrecer, como mínimo, el mismo nivel de protección que se haya requerido.
Fuentes: ElConfidencial.com y La Wiki del Técnico Microinformático
AEPD y su ultimátum II: Actualización, donde dije digo, digo.... -
[…] la publicación de ayer y gracias a Julián González, he tenido constancia de la aclaración emitida por la AEPD al […]