Nube pública y el fin del acuerdo de Puerto Seguro para las transferencias internacionales de datos

El uso de servicios de nube pública por parte de las empresas facilita a los usuarios la gestión de los datos y hace que exista una creciente demanda de este tipo de aplicaciones. Sin embargo, como consecuencia del fin del acuerdo de Puerto Seguro, surgen complicaciones en caso de tener que declarar las transferencias internacionales de datos ante la Agencia Española de Protección de Datos (AEPD).

Las principales ventajas del uso de nubes públicas serían las siguientes:

  • La flexibilidad o independencia del lugar en que se encuentren los usuarios o el ordenador desde el cual estén trabajando. Al tratarse de datos que se encuentran en la nube, se puede acceder con una conexión a internet e introduciendo los datos de usuario y contraseña desde cualquier ordenador; o bien por medio de una aplicación cliente que  sincroniza los datos de la nube en una carpeta en el ordenador del usuario.
  • La seguridad de los datos, que difícilmente se perderán al poder estar físicamente en el ordenador del usuario y en el servidor de la nube.
  • La eliminación del coste de respaldo de los datos por parte del equipo de tecnologías de la información, que se evita al realizarse de forma automática la sincronización cliente servidor y sólo hay que salvaguardar la información del repertorio del servidor.
  • Las posibilidades de compartir datos entre las personas implicadas en un proyecto con seguridad, centralizando los datos en un repertorio común para todas las personas involucradas en la tarea.
  • La recuperación de ficheros borrados y versiones anteriores de los mismos, en los casos en que la plataforma de nube pública lo permita.
  • Otros servicios que vayan más allá de “cloud as a service” y que incluyan aplicaciones de gestión y no sólo almacenamiento de datos.

En un post anterior, hablábamos de las ventajas que ofrecía el acuerdo de Puerto Seguro entre la UE y EEUU, sin embargo con el fin del acuerdo se hace obligatorio informar a la AEPD de las transferencias internacionales de datos de carácter personal cuando este tipo de servicios los ofrece un proveedor cuyos servidores no se encuentran en territorio de la UE.

Hasta ahora, y dado que los proveedores más avanzados en este tipo de servicio al menor coste eran estadounidenses; con la suscripción, por parte de las empresas estadounidenses, del acuerdo Safe Harbor o Puerto Seguro con la Unión Europea, las empresas que contrataban servicios de este tipo con empresas estadounidenses que habían suscrito este acuerdo no necesitaban solicitar de la AEPD permiso para realizar las transferencias internacionales de datos.

Este acuerdo Safe Harbor ha dejado de tener validez a partir del pasado octubre de 2015. La AEPD ha informado oportunamente de ello en los siguientes términos: “El Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado: Nota de Prensa

A partir de ese momento se hace necesario revisar si nuestros proveedores de servicios de nube pública, con los que se producen transferencias internacionales de datos de carácter personal, cumplen con el cambio de normativa y para ello podemos consultar directamente a la AEPD a través del siguiente link:  Sede electrónica de la AEPD.

Para más información detallada sobre los requisitos sobre la nube por parte de la AEPD, existe una guía para servicios en la nube editada por ésta que aclara conceptos al respecto.

Además de la posibilidad de consultar a la AEPD sobre nuestra situación concreta, hemos de saber que la AEPD lo que solicita a las empresas que utilizan este tipo de servicios y se encuentran afectadas por la nueva situación de realizar transferencias internacionales de datos con empresas de servicios en la nube acogidas al acuerdo de Puerto Seguro, es que realicen una de estas tres gestiones antes del 29 de enero:

  • Contar con la autorización de la directora de AEPD
  • Conseguir el consentimiento informado de las personas cuyos datos se vean afectados
  • Estudiar si se encuentran en cualesquiera otras de las excepciones contempladas en el artículo 34 de la LOPD

A partir de aquí se han producido movimientos por parte de algún proveedor de este tipo de servicios, como es el caso de Dropbox que ofrece sus servicios desde Irlanda, para adaptarse a la situación y suponemos que irán apareciendo novedades sobre otros proveedores.

Luis Fernández de Heredia
Director TIC