Inicio / Protege tu empresa / Blog / Puerto seguro: privacidad vs negocio

Puerto seguro: privacidad vs negocio

Publicado el 13/10/2015, por INCIBE
Puerto seguro: privacidad vs negocio

El pasado día seis el Tribunal Superior de Justicia Europeo ha dado la razón al austríaco Max Schrems. Este estudiante de derecho litigaba contra Facebook en Irlanda por la privacidad de sus datos. La decisión del TSJE deja sin efecto los acuerdos de puerto seguro a los que se acogían muchas empresas estadounidenses. En virtud de estos acuerdos las empresas podían transferir datos personales de usuarios, empleados o clientes europeos a servidores en su país, pues se suponía que los protegían con las mismas exigencias que la legislación europea. Estas trasferencias son esenciales para muchas empresas tecnológicas que basan sus modelos de negocio en la actividad y las preferencias de sus usuarios, principalmente aquellas que en apariencia son gratuitas pero donde el usuario es el producto, no el servicio.

Recordamos que según la LOPD, datos de carácter personal son «cualquier información concerniente a personas físicas identificadas o identificables». Son datos de carácter personal por ejemplo: nombres de usuarios, nombres y apellidos, direcciones postales, números de teléfono, DNI, formación, profesión, números seguridad social, correos electrónicos, firma electrónica, pruebas, diagnósticos y tratamientos médicos, rendimiento deportivo, edad, raza, afiliación política, cuentas en bancos, compras, suscripciones, visitas a páginas web, direcciones IP, uso de los servicios contratados, fotos, grabaciones de audio o videos de cámaras de seguridad, etc.

Son también datos personales la información de identificación personal o PII (Personally Identifiable Information) como intereses, gustos, geo-localización, ADN o información biométrica, es decir, toda información que pueda servir para averiguar la identidad, localizar o contactar a una persona o a un individuo a través del contexto.

La Agencia Española de Protección de Datos (AEPD) es la encargada de autorizar las transferencias de datos internacionales para que se garantice la misma protección de los datos que la recogida en la LOPD. Según la AEPD a fecha de hoy tienen un nivel adecuado de protección: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda. Y hasta hace unos días también ofrecía garantías Estados Unidos con los acuerdos de puerto seguro.

Son muchas las empresas que se acogen a los acuerdos de puerto seguro que ahora han quedado invalidados. Con estos acuerdos firmaban que tratarían los datos personales que transferían desde sus filiales europeas respetando la Directiva Europea de Protección de Datos. Pero Max Schrems sospechó que algunas grandes empresas no lo hacían. Por aquellos tiempos Edward Snowden desveló que la NSA tenía acceso a los datos de Facebook y otras compañías.

¿Qué pasa con los datos que transferían esas empresas americanas con sede en Europa?

La decisión del TSJE obliga a la Agencia de protección de datos irlandesa a analizar si las empresas afectadas protegen adecuadamente los datos de los usuarios europeos. En el caso de que haya más denuncias contra otras empresas, tendrán que analizar cada caso las agencias encargadas de la protección de datos en los países en los que se produzca esa denuncia.

Esta es una decisión a favor de la privacidad de los ciudadanos europeos pero que afecta al modelo de negocio de algunas empresas tecnológicas afectadas. En particular las redes sociales, empresas de contenidos digitales (audiovisuales, publicaciones, video y televisión), publicidad, portales de compra-venta, tiendas on-line, etc. Por este motivo es posible que haya nuevos acuerdos comerciales y diplomáticos para solucionar esta situación, pues si los ciudadanos denuncian a cada empresa tendrían que tratar caso por caso.

¿Afecta a las empresas españolas?

Si tu empresa tiene sede y opera en España, recoge datos personales y los transfiere internacionalmente, debe cumplir la LOPD. La AEPD es la encargada de inspeccionar y aprobar estas transferencias internacionales. En esta página de la AEPD tienes toda la información. Un caso particular son las start-ups que tengan sede en Europa y en Estados Unidos o las empresas que se hayan internacionalizado y realicen bien cesión o comunicación de datos bien tratamiento de datos a/en ese país.

¿Qué pasa si tengo contratados servicios en los que realizo transferencia de datos personales de mis clientes a empresas de países que no están autorizados por la AEPD?

Si los datos personales que recoges son de clientes o proveedores europeos has de cumplir las directivas de protección de datos europeas de las que se hacen eco las legislaciones nacionales. En el caso de España debes contactar con la AEPD para que apruebe esa transferencia. Si es una empresa que se acogía al tratado de puerto seguro puede pasarle lo que a Facebook con el estudiante austríaco y la Agencia tendrá que decidir si autoriza la transferencia de datos o si la suspende en el caso de que ya se haya establecido.

Y en el caso de servicios cloud o servicios gestionados, como alojamiento web, correo electrónico o backup ¿qué debo tener en cuenta?

Comprueba primero si los datos transferidos son datos personales de tus clientes o proveedores europeos. Si por ejemplo haces backup en la nube de tus cálculos de estructuras o datos de fabricación, no son datos personales y no afecta la LOPD. En cambio si tu página web permite el registro de usuarios, estás tomando datos personales. Lo mismo ocurre si usas un servicio de correo electrónico cloud para intercambiar información con clientes y proveedores. Si tu página web está alojada en otro país, tendrás que recabar su consentimiento para realizar ese tratamiento, indicando el lugar dónde van a ser alojados. También debes solicitar a la AEPD la aprobación de esta transferencia.

¿Y si contrato servicios de big data?

Muchos tratamientos de big data, en particular los orientados a mejorar las decisiones de marketing o tratamientos médicos se realizan con datos personales. Si piensas contratar estos servicios a compañías no europeas o que traten los datos fuera de Europa, además de pedir consentimiento a los usuarios, tendrás que firmar un acuerdo de transferencia de datos con la empresa de big data y solicitar a la AEPD que autorice la transferencia.

Y ¿qué pasa cuando utilizo mis datos personales para abrir cuentas en redes sociales o adquirir servicios de alojamiento para mi empresa?

Si la red social o el servicio de alojamiento, como Facebook, transfiere los datos de sus clientes a su sede en EEUU estás en la misma situación que Max Schrems. De momento si crees que se vulnera la privacidad de tus datos podrás ejercer tus derechos como ciudadano.

Estos son algunos casos, en todo hay excepciones, que se pueden plantear a raíz de la reciente decisión del TSJE. No obstante es prudente esperar a ver qué solución toma la homóloga a la AEPD en Irlanda y si hay más denuncias similares de ciudadanos europeos. De momento esta decisión refuerza la privacidad de los usuarios. Son aún muchas las preguntas sin resolver. El tiempo dará la respuesta.

Etiquetas: 
Empresa
Cumplimiento legal
Artículos relacionados
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones
Carteles con flechas Reactiva-Proactiva
INCIBE | 07/03/2023
¿Por qué adoptar un enfoque proactivo en nuestra organización?