Revolucionados estamos con la problemática que supone la inaplicación de los acuerdos de Safe Habor a partir de la Sentencia del TJUE por el “caso Schrems” invalidando la Decisión 200/520/CE. Cierto es que la AEPD no ha dado ningún “ultimátum”, ni ha prohibido nada a las empresas para que dejen de usar Google Apps, Dropbox o servicios similares cuya base jurídica de uso se cimentaba en los citados acuerdos derogados. Pero …
Contratación Cloud, ¿qué implica?
Tal y como es la vigente regulación de Protección de Datos Personales, la contratación con proveedores de servicios en la nube o “cloud computing” conforma un supuesto de tratamiento de datos por cuenta de un tercero, que pasará a tener la figura de “Encargado” respecto de nuestros tratamientos de datos. De esta manera, el cliente de un servicio “cloud” será siempre responsable del tratamiento y es sobre él que recae la responsabilidad sobre su finalidad, contenido y uso, en cualquiera de sus formas, no transmitiendo a la prestadora del servicio tal responsabilidad.
En mi opinión las tecnológicas norteamericanas se han ganado a pulso el cerrarles la puerta de la equivalencia de aplicación de las medidas de protección de datos que en Europa, al menos sobre el papel, se aplican a los ficheros de datos. Los papeles de Snowden han destapado el “gran hermano” en el que nos encontramos, y también desnuda el que en Europa estamos a la cola respecto del desarrollo de servicios que compitan adecuadamente y proporcionen alternativas que no condicionen la competitividad de las empresas. Tenemos una dependencia muy alta de recursos TIC exteriores, solo comparable a la del petróleo.
La posición de la Agencia Española de Protección de Datos
Pasada la fecha del 29 de enero de 2016 la AEPD, como digo, no prohibe el uso de servicios basados en servidores de datos situados en Estados Unidos, pero si está comenzando a exigir que solicitemos una autorización de transferencia internacional (TI). Desde luego no es prohibir, pero si establecer una condición cuasi-imposible en muchos casos a miles y miles de Pymes, Micropymes y Autónomos.
¿Cómo solicitar autorización para una Transferencia Internacional de Datos?
Obtener una autorización de TI implica:
- Por supuesto tener los ficheros que van a estar afectados por la TI, inscritos y actualizados.
- Solicitud fundamentada de la TI ante la AEPD.
- Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
- Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
Esto imposible no es, pero si complicado de conseguir por una pequeña empresa de forma individualizada (y no exento de costes), ya que tendríamos que pedir al proveedor USA un contrato bilateral para poder seguir usando sus servicios. Que conozca, solo BBVA, que es uno de los principales clientes de Google Apps tiene un acuerdo negociado de tú a tú.
¿Qué hacemos con Dropbox?
Ante esta nueva situación Dropbox Inc parece que no mueve ficha.
Así, desde Soluteca hemos hecho un pequeño estudio centrado en alternativas a Dropbox que no implique una TI por formalizar la contratación con una empresa residente en la UE. Hemos encontrado las siguientes:
- AWS Amazon Web Services (S3), formalizando la contratación en Irlanda (para quien no lo conozca, es la base de funcionamiento técnico de Dropbox)
- Onedrive de Microsoft, siempre y cuando utilicemos una solución de pago, por ejemplo a partir de Office 365. No están aquí la solución gratuita que ofrecen de 15 GB.
- Hi-drive de Strato.
- Box.com, cualquier plan
Otros aspectos a valorar necesariamente
No hemos entrado a valorar más aspectos que el conocer cómo y con quien contrato a efectos de si estoy en supuesto de tener que regularizar una TI o no, pero a la hora de elegir una alternativa u otra debemos estudiar en profundidad otros aspectos con el fin de minimizar los que están latentes en este tipo de servicios. Debemos verificar de forma previa a la contratación si, más allá del supuesto de Transferencia Internacional, nos ofrecen un nivel adecuado de tratamiento, como puede ser la existencia o no de subencargados y la relación con estos, políticas y medidas de seguridad, nuestros derechos como clientes, obligaciones del proveedor. Muy importante es considerar y analizar la facilidad para la salida del servicio, así como su dependencia, para que llegado el caso, podamos retornar nuestra información o cambiar a otro proveedor sin merma en la integridad de nuestros datos y que estos queden siempre bajo nuestro control
¿Qué consideramos ante este nuevo reto?
Creemos muy necesario revisar todas sus relaciones con proveedores “cloud” para conocer nuestra situación respecto de este nuevo entorno legal, cualquier transferencia internacional de datos no legalizada puede suponer una fuerte sanción (de 300.001 a 600.000 euros) por tipificarse como infracción muy grave.