El próximo viernes 29 de enero finaliza el plazo marcado por la Agencia Española de Protección de Datos (AEPD) para que todas las compañías españolas que operan transferencias internacionales de datos personales con empresas estadounidenses se adecúen a la nueva normativa. La fecha fue fijada a finales de octubre en una carta que envió a las empresas afectadas. En ésta, instaba a las mismas a “encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo (…) o en las excepciones previstas que pudieran ser aplicables”. En caso de no adecuarse a la normativa antes de la fecha señalada la Agencia podría “iniciar el procedimiento para acordar la suspensión temporal de las transferencias”, entre otras medidas.
Ocurrió a principios del pasado mes de octubre. El Tribunal de Justicia Europeo fallaba en contra del acuerdo ‘Safe Harbor’, vigente desde el año 2000. Este acuerdo permitía a empresas tecnológicas estadounidenses transferir a los servidores instalados en Estados Unidos los datos personales de clientes y usuarios europeos. Más de 15 años después, el TJUE lo ha declarado inválido al considerar que hacía prevalecer los intereses del estado americano sobre el derecho a la privacidad y protección del ciudadano europeo.
Para continuar con las transferencias, las empresas tienen que cumplir con los requisitos establecidos en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Trámites que no parecen contentar a las empresas afectadas.
En una primera opción, la compañía debe conseguir que el proveedor americano se adapte y firme un contrato acorde a las exigencias de la AEPD de intercambio de datos personales fuera de la UE –algo complicado debido a la incompatibilidad entre las legislaciones europea y norteamericana-. Una vez realizados los cambios se deben de notificar –con traducción jurada- a la directora de la agencia para que dé o no su autorización. Un proceso algo lento y tedioso cuyo plazo termina el próximo viernes.
La última posibilidad que se contempla es que las empresas cambien de proveedores de servicio a compañías españolas o del resto de Europa. En esta opción se resuelve de manera automática el dilema al estar dentro de las normativas vigentes. Sin embargo, por lo general, el coste de estos servicios es mayor que el de las compañías norteamericanas.
A partir del 29 de enero, toda empresa que no haya regularizado su situación con el proveedor Safe Harbor corre el riesgo de ser denunciado por cualquier cliente que entienda que no se está velando por la seguridad de sus datos personales. Por supuesto, la empresa también puede evitar este asunto si es capaz de llegar a un acuerdo de transparencia sobre el uso y y envío de los datos de carácter personal con todos sus usuarios o clientes. En caso contrario, las sanciones que las compañías –en la mayoría pymes- podrían sufrir abarcan desde los 300.001 hasta los 600.000 euros al tratarse de una “falta muy grave”, según la LOPD. Cantidades inasumibles para muchas y que les abocaría a la quiebra. Por otra parte, la Agencia podrá iniciar un procedimiento para suspender temporalmente las transferencias.
En las próximas semanas publicaremos un informe en mayor profundidad sobre las normativas de transferencia de datos.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.