Esta ley marca las pautas de gestión de los datos que usamos y el mayor o menor celo que debemos tener con ellos. Es decir, no es lo mismo, ni requiere el mismo cuidado o protección, la gestión de una ficha de un producto que la de un cliente donde podamos tener sus datos de contacto.
Uno de los aspectos tratados por la LOPD es el de las transferencias internacionales de datos, indicando que no está permitido, sin una aprobación previa, transmitir datos desde los territorios del Espacio Económico Europeo (EEE) a otros países, salvo alguna excepción, entre las que no está EEUU. Bueno, lo estuvo, pero no lo está desde el pasado 6 de octubre de 2015 cuando el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválida la Decisión de la Comisión 2000/520/CE que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro (Safe Harbour).
Y es aquí donde surge el problema al que hacíamos referencia al comienzo del artículo: la mayor parte de los servicios en la nube que usamos son de empresas de EEUU y por lo tanto debemos tener especial cuidado con los datos que ahí almacenamos, sobre todo los más sensibles.
Entendida la situación, recalcamos que la LOPD no prohibe, como se dio a entender en algún medio, el uso de estos servicios en la nube, solo advierte a las empresas que están gestionado datos personales en esos servicios para que aseguren que no se encuentran fuera del EEE. Eso si, establece la fecha del 29/01/2016 para que los responsables de seguridad de los datos de las empresas resuelvan la situación. Aquí tienes el detalle de lo que marca la AEPD: aplicación de la sentencia de puerto seguro.
Hasta aquí perfecto, pero ahora la cuestión es ¿qué opciones tenemos?:
-
Lo primero es indicar que este es un tema importante pero debemos tener una preocupación relativa ya que la AEPD resalta lo siguiente: «La Agencia en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores por defecto contra las empresas. En la comunicación enviada a los responsables, la AEPD sólo indica que, de no modificarse la base legal para la realización de transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias».
-
<Opción 1: contactar con el proveedor para obtener la confirmación del país donde almacena mis datos y, si es en EEUU, conocer qué acciones pretende realizar para resolver esta situación.
-
Opción 2: trasladar tus datos a empresas europeas que ofrezcan servicios similares.
-
Opción 3: trasladar tus datos a un sistema propio que puede estar alojado en la nube, en servidores del EEE.
Siguiendo el nuevo enfoque del Blog de Cajasiete con tu negocio que busca contar un caso real de lo comentado previamente, permítanme elegir a nuestra empresa, Itop, como un ejemplo de empresa canaria que usa Google Apps.
En nuestro caso hemos optado por la opción 3, es decir, implantar un sistema propio de gestión documental alojado en un proveedor de hosting con sus servidores en Francia, por lo tanto dentro del EEE.
Hemos elegido una solución de tipo OpenSource, muy madura y que mejora en varios aspectos algunas de las funcionalidades que ofrece Google Apps o Dropbox. El nombre de esta solución es Alfresco.
Para no hacer demasiado largo este artículo, continuaremos con una segunda parte…