El amarillismo informativo sobre las prácticas de la Agencia Española de Protección de Datos en los mitos y leyendas de “Puerto Seguro”
Cuando se lee el tratamiento que hacen distintos medios sobre información que conocemos de primera mano se hace complicado creerse al pie de la letra lo que cada uno de ellos publica sobre otros temas.
Como ejemplos podemos citar programas de televisión como el de Jordi Évole dedicado a la privacidad, con un tratamiento del tema a nuestro juicio sensacionalista y poco riguroso, o la publicación de la siguiente noticia de El Confidencial:
Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps
Leer más: Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps. Noticias de Tecnología http://goo.gl/w9gwEp
Evidentemente, dicho titular ha provocado la alarma en más de un cliente, el cual alarmado, asustado y encolerizado con razón, se ha puesto en contacto con nosotros para preguntar por qué no le hemos avisado de que la AEPD ha prohibido tajantemente el uso de tales servicios.
Precisamente algunos días después de la publicación de la noticia, tuvimos la oportunidad de dialogar brevemente con la propia Directora de la Agencia, Mar España, sobre el desafortunado titular; o más bien, desafortunado titular para nosotros y afortunado titular para los editores de dicho medio, ya que han conseguido cuantiosas visitas y la no despreciable cifra de Siete Mil (7.000) publicaciones de la noticia en #Facebook (que se dice pronto, y no hablamos sobre las otras #RRSS porque ya se tardaría en decirlo).
En realidad la Agencia en ningún momento ha emitido un “Ultimátum”. La Agencia, en una labor de concienciación y de sensibilización sin precedentes, ha emitido una serie de comunicaciones para ayudar a todos los encargados de protección de datos de las distintas entidades que hayan marcado en su declaración de ficheros que realizan transferencias internacionales a EEUU, de la actual situación de Safe Harbor o Puerto Seguro y de la necesidad de cumplir con todas las garantías en dichas transferencias internacionales, para las cuales se siguen estableciendo las mismas garantías que antes; y es que hasta hace poco, las transferencias de datos entre Europa y Estados Unidos estaban legitimadas en el acuerdo Puerto Seguro (Safe Harbor), en el que básicamente si una empresa americana se acogía al acuerdo de Puerto Seguro, dicha empresa americana se comprometía a cumplir con los estándares de privacidad europeos, precisamente para poder ofrecer sus servicios en Europa. Dicha situación cambió radicalmente tras la Sentencia del Tribunal de Justicia Europeo de fecha de 6 de Octubre de 2015, que invalidaba el acuerdo de Puerto Seguro, al sugerir el hecho (evidente por otro lado) de que actualmente si una empresa americana firmaba el acuerdo, no existían controles o compromisos reales para verificar que se cumplían las medidas de seguridad exigidas. La sentencia del Tribunal de Justicia Europeo, establece que las autoridades de control de los países de la Unión Europea (las agencias de protección de datos europeas) ante una denuncia de un ciudadano de la Unión, tienen facultades de investigación respecto al cumplimiento de los principios de garantía en relación a los datos de carácter personal en el país destinatario de la transferencia de datos.
El motivo principal de que no se cumplan las garantías en EEUU es que tras el caso Snowden quedaba manifesto de que la Agencia de Seguridad Nacional (National Security Agency o NSA) podía realizar un acceso masivo e indiscriminado a datos de carácter personal (algo que se permite en EEUU pero no en EUROPA).
Tras la publicación de la Sentencia, la Agencia Española de Protección de Datos (AEPD), remitió cartas a las empresas que en sus inscripciones de ficheros establecían transferencias de datos amparadas en el acuerdo puerto seguro. El pánico generalizado de las empresas que no tienen un tratamiento de datos adecuado a la normativa, sin un seguimiento específico y sin asesoramiento profesional y/o cualificado por un profesional de la privacidad, han generado titulares como el que comentamos más arriba.
La propia AEPD ha emitido una nota de prensa aclaratoria estableciendo que no ha requerido a ninguna empresa para prohibir el uso de estas aplicaciones, sino para dar cumplimiento a lo establecido en la sentencia del Tribunal de Justicia Europeo con las garantías que exige la normativa española.
Es por ello que aplicaciones tales como Google Apps, Dropbox, SurveyMonkey, y otras tantas que utilizan servidores alojados en EEUU, pueden seguir siendo utilizadas por las empresas españolas, siempre y cuando cumplan con la normativa existente o incluso casi existente (el nuevo Reglamento Europeo de Protección de Datos que establece sanciones en base a la facturación de la entidad correspondiente).
Así que por favor, alarmistas insensatos, dejen de ganar titulares a base de asustar al personal. Aquellas empresas que estén correctamente asesoradas no tienen porqué temer nada, ya que se encuentran bajo la tutela de un profesional suficientemente cualificado.
Aquellas empresas que no dispongan de una persona cualificada o preparada para abordar estos temas sí que tiene mucho que temer, pero no sólo en la utilización de estas aplicaciones, sino también en todos sus procesos internos y externos en el tratamiento de datos personales, así como en publicaciones en redes sociales y páginas web.
Si tenéis alguna pregunta al respecto y no queréis que sea visible para cualquier lector que pueda acceder a la página, podéis contactarnos en el formulario que sigue a continuación.