Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.

Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.

Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.

Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.

Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.

¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.

Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):

Publicado en Blog

El pasado 17 de julio iniciábamos el día con una resolución del Tribunal de Justicia de la Unión Europea (TJUE) de mucho peso en el ámbito de la protección de datos. Dicha resolución anula el conocido “Privacy Shield” que hacía posible que se llevasen a cabo transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EE. UU).

Las transferencias internacionales: suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

El “Privacy Shield” (Escudo de privacidad): es el acuerdo firmado en 2016 en sustitución al anterior marco legal conocido como “Safe Harbour” (Puerto seguro), se encarga de proteger los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos aportando claridad jurídica para las empresas que dependen de transferencias internacionales de datos. Asimismo, la propia Decisión 2016/1250 indica queel escudo de la privacidad UE-EE. UU. se basa en un sistema de auto certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión”.

Pero, ¿qué ha llevado al TJUE a tomar esta decisión?

El origen de la Decisión del TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, un ciudadano austríaco y usuario de Facebook desde 2008. Este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esta reclamación fue el origen de la antedicha sentencia que declaraba nulo el “Safe Harbor” en 2015 (sentencia del TJUE 6 de octubre de 2015).

En una segunda reclamación este ciudadano austríaco argumenta que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos por parte de Facebook Ireland.

En base a las reclamaciones indicadas, los principales motivos por los que el TJUE ha tomado la decisión de invalidación del escudo de privacidad son:

En primer lugar, por el riesgo que entiende que presentan los programas de vigilancia estadounidenses para los datos de carácter personal de todos los ciudadanos europeos, dado que expone que el escudo de privacidad puede llegar a menoscabar los derechos fundamentales de las personas cuyos datos se transfieren a servidores que se encuentran alojados en Estados Unidos. El Tribunal estima dicha pretensión toda vez que el tratamiento de los datos no se limita a lo estrictamente necesario, si no que podrían llegar a utilizarse para otros fines que difieren totalmente de lo estipulado, y esto es así ya que la legislación norteamericana en materia de protección de datos es considerada por los jueces como “menos estricta” que la europea, indicando textualmente el TJUE:

«las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión», aspecto que no se está cumpliendo a través del “Privacy Shield”.

En segundo lugar, otro de los principales motivos por los que lleva al TJUE a tomar la decisión de anular el escudo de privacidad, es la constatación de las limitaciones del derecho a la tutela judicial efectiva que existen en EE. UU. Se ha podido comprobar que la normativa de Estados Unidos no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión, lo cual está yendo en contra de las garantías prestadas por los países de la Unión Europea.

Entonces, ¿qué alternativas tienen las empresas para realizar Transferencias Internacionales a EE. UU con el Escudo de Privacidad invalidado?

Publicado en Blog

Como ya comentamos anteriormente, el 27 de febrero, se celebró una sesión de comparecencias por la Comisión de Justicia donde se analizaron los objetivos perseguidos por el Proyecto de Ley Orgánica de protección de datos de carácter personal (El Proyecto), y donde además, se dio respuesta a aquellas dudas que han surgido sobre el mismo.

Por su parte, Mar España, directora de la Agencia Española de protección de datos (AEPD) manifestó su opinión sobre aquellas cuestiones que han despertado más dudas y preocupaciones a raíz de la publicación del mismo:

1. La edad a partir de la cual el menor puede prestar el consentimiento para el tratamiento de sus datos.

El Reglamento general de protección de datos (RGPD) establece como regla general la edad de dieciséis años, permitiendo a los Estados miembros rebajarla hasta un mínimo de trece, siendo esta opción la que ha adoptado el Proyecto, para lo cual ha tenido en cuenta el derecho comparado, ya que mayoritariamente así lo han establecido el resto de los países de la UE.

Por otra parte, la AEPD no considera que se deba aumentar la edad por encima de la actualmente establecida, que son los catorce años y, considera que sea cual sea la edad determinada, se debe acompañar de medidas enfocadas tanto a mejorar la educación de los menores y sus padres en materia de protección de datos y privacidad como a asegurar un uso apropiado de los datos de los menores por parte de los responsables de su tratamiento.

No obstante, esta es la regla general para aquellos supuestos en que no exista otra restricción al consentimiento del menor, como sucede en el sector sanitario, donde la edad es de dieciséis años.

2. Existen asociaciones científicas que han manifestado su inquietud con lo dispuesto en el artículo 6 del Proyecto, al exigir éste un consentimiento específico e inequívoco para cada uno de los tratamientos  que pretendan llevarse a cabo, pudiendo puede suponer un obstáculo para el desarrollo de la investigación biomédica.

Publicado en Blog

En nuestro articulo Transferencias Internacionales de Datos en el RGPD. Novedades respecto de la LOPD, parte I llevamos a cabo un análisis tanto de la normativa, todavía vigente, en materia de Transferencias Internacionales de Datos como de algunas de las novedades que, respecto de esta materia, introduce el Reglamento General Europeo de Protección de Datos (en adelante el RGPD). A este conjunto de normas debemos añadir, tras su publicación en fecha 27 de Junio de 2017, el Anteproyecto de Ley Orgánica de Protección de Datos (en adelante el Anteproyecto), que regula estas transferencias en sus artículos 41 a 44.

Si bien es cierto que el RGPD introduce novedades que afectan a todo el régimen de transferencias internacionales, en el presente artículo nos centraremos en examinar las novedades que afectan al régimen de autorizaciones.

¿Cuál va a ser el futuro de las autorizaciones por parte de la Directora de la Agencia Española de Protección de Datos (en adelante la AEPD)?

Publicado en Blog

Actualmente y con plenos efectos hasta mayo 2018, si queremos realizar una transferencia internacional de datos, debemos tener presente tanto lo establecido en nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y en nuestro RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, (en adelante RD 1720/2007) ambas normas en vigor y de plena aplicación.

A día de hoy, las transferencias/movimientos internacionales de datos se regulan en los artículos 65 a 70 de la LOPD y en los artículos 33 y 34 del RD 1720/2007, y tenemos como principio general que no pueden realizarse transferencias internacionales de datos con destino a países fuera del Espacio Económico Europeo (EEE) que no proporcionen un nivel de protección equiparable nuestro, salvo autorización previa de la Directora de la Agencia Española de Protección de Datos, (en adelante AEPD).

Según la AEPD países, fuera del EEE, que proporcionan un nivel adecuado de protección son actualmente: Suiza, Guernsey, Isla de Man, Jersey e Islas Feroe, Canadá, Argentina, Andorra, Israel, Uruguay, Nueva Zelanda y EEUU pero sólo aplicable a las entidades estadounidenses adheridas a los principios del vigente Privacy Shield aprobado en julio 2016 y que busca proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos personales se transfieran a los Estados Unidos, así como aportar claridad jurídica para las entidades que dependen de transferencias internacionales de datos. (Para ver la lista completa de entidades en https://www.privacyshield.gov/list).

Como excepción a la regla general nos encontramos con supuestos legalmente excluidos de la autorización de la Directora de la Agencia Española de Protección de Datos, a modo de resumen:

Publicado en Blog

Hasta ahora el acuerdo de puerto seguro UE-EEUU suponía el marco que permitía transferir datos a empresas de EEUU adheridas a dicho acuerdo sin pasar por el régimen de autorización previa ante las autoridades de protección de datos.

Sin embargo, como resultado de la anulación de este acuerdo por parte del Tribunal de Justicia Europea, todas las transferencias a EEUU realizadas al amparo del puesrto seguro, han pasado a ser ilegales (tal y como se dice en la nota de prensa de la AEPD).

Ante esta situación, la AEPD está requiriendo a aquellos responsables que habían notificado en sus ficheros este tipo de transferencias, con fecha límite 29 de enero 2016, lo siguiente:

a) Cesar en la transferencia de datos a EEUU, así como notificarlo al Registro General de Protección de Datos modificando el apartado "Transferencias internacionales" de los ficheros afectados.

b) O bien, ampararse en alguna de las excepciones establecidas en la LOPD que permiten realizar transferencias sin autorización.

c) O bien, solicitar autorización de la AEPD, siendo necesario legitimar dicha transferencia en alguno de los supuestos establecidos en la LOPD.

La autorización puede darse cuando el importador de datos ofrece todas las garantías exigidas por la normativa europea, siendo una herramienta válida la adopción de alguno de los conjuntos de cláusulas contractuales tipo autorizadas por la Comisión Europea. Los pasos a seguir serían:

Publicado en Blog

Ya os adelantábamos la semana pasada que era altamente previsible que la Gran Sala siguiera la misma línea que había sido manifestada por el Abogado General hace escasas dos semanas.

Indicamos algunos de los argumentos sobre los que se basa el TJUE en su Sentencia para fundamentar la invalidación de la Decisión de la Comisión:

1. Que los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios.

2. Que la Decisión se refiere únicamente a la adecuación de la protección proporcionada en EEUU con arreglo a los principios de puerto seguro y su aplicación de conformidad a fin de ajustarse a los requisitos del artículo 25.1 de la Directiva 95/46, sin contener no obstante las constataciones suficientes sobre las medidas con las que EEUU garantiza un nivel de protección adecuado. Sin olvidar que esos principios pueden limitarse por exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos. Esto significa que las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas, sin limitación, a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias. En consecuencia, una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas, lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por la Carta de los Derechos Fundamentales de la Unión Europea.

3. Que no se respeta el derecho fundamental a la tutela judicial efectiva de los ciudadanos europeos, en el mismo momento en que la normativa interna de EEUU no prevé posibilidad alguna al afectado de ejercer acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión.

4. Sentencia el TJUE que además la Comisión no manifestó en la Decisión 2000/520 que EEUU garantizase efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales..

Publicado en Blog
Miércoles, 30 Septiembre 2015 16:34

El Puerto Seguro ya no es tan seguro

La semana pasada se publicaban las conclusiones del Abogado General del TJUE (SR. Yves Bot) sobre el caso Maximillian Schrems contra Data Protection Comissioner, del que ya hablamos en este mismo blog, allá por marzo.

Las conclusiones de Bot han resultado ser interesantes y muy críticas, a su vez, respecto el concepto de nivel de protección adecuado conferido por los principios de puerto seguro establecidos en la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.

El Abogado comienza su exposición recordando el principio establecido en el artículo 25 de la Directiva 95/46: "no pueden transferirse datos personales a un país tercero si éste no garantiza un nivel de protección adecuado de tales datos".

En opinión del Sr. Bot para alcanzar un nivel de protección equivalente al vigente dentro de la Unión, el régimen de puerto seguro debe ir acompañado de garantías adecuadas y de un mecanismo de control válido, esto es, las transferencias de datos personales a países terceros no deben ser objeto de una protección inferior.

Entrando en materia sobre el caso concreto objeto de análisis, la transferencia de datos personales por Facebook Ireland a su sociedad matriz establecida en Estados Unidos se realizaba bajo la certificación de Facebook a los principios de puerto seguro.

Pero al parecer, y así lo indica el Abogado, el régimen de puerto seguro ha pasado a ser uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han sido tratados inicialmente en la Unión.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal