Contacte con Abanlex

Regulaciones de la AEPD: Opciones para Usar Google Drive y Dropbox

por

Pablo F Burgueño
en , , ,

Artículo elaborado por Pablo Fdez. Burgueño (@Pablofb), abogado de Abanlex.

Abanlex ha colaborado con El Confidencial para la publicación de esta noticia: Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps. El título, que consideramos incorrecto, y la forma sensacionalista de expresar el contenido son del medio, no de Abanlex.

La Agencia Española de Protección de Datos ha enviado un comunicado a las empresas que se sirven de soluciones estadounidenses. Un resumen podría ser: ¿Tu empresa usa Dropbox, Google Drive o MailChimp? Tienes hasta febrero para cumplir o cesar. La Agencia ha declarado a los medios de forma no oficial que no abrirá procedimientos sancionadores por defecto en caso de incumplimiento.

La Agencia ha requerido a todas las empresas españolas para cumplan una de estas tres opciones antes del 29 de enero para poder seguir usando los servicios:

  • Opción A: Conseguir la autorización del Director de la Agencia Española de Protección de Datos
  • Opción B: Conseguir el consentimiento informado de todas las personas cuyos datos se vena afectados.
  • Opción C: Usar alguna de las otras excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999 (ejemplo: transferencias para auxilio judicial o realizar un diagnóstico médico)

La Agencia recuerda en un comunicado (ver comunicado) que el requerimiento (ver requerimiento) no es un ultimátum propiamente dicho, aunque pueda iniciar procedimientos de cese en transferencias internacionales en caso de que se incumpla.

Están afectadas, entre otras, las empresas españolas que usan, para guardar o tratar información con datos personales, algunos de estos servicios:

  • Dropbox: Alojan fichas de clientes en Dropbox
  • Redes sociales (Facebook, Flickr, InstagramTwitter…)
    • Páginas y perfiles en redes sociales: Suben fotografías en las que aparecen personas identificables.
  • Google:
    • Google Drive: Usan formularios u hojas de cálculo en Google para recabar datos de usuarios o almacenar información personal.
    • Gogle Apps: Utilizan el servicio de correo de Google
  • MailChimp: Gestionan el envío de e-mails comerciales a través de este servicio.
  • Bitcoin: empresas que alojan anotaciones usando la funcionalidad BIP70 u otras similares
  • Hosting o cualquier otro servicio en EEUU

A los servicios listados habrá que sumar todos aquellos que se presten después de haber realizado una transferencia internacional de datos a EEUU o a otros países considerados no seguros, cuya lista gestiona la AEPD.

Ejemplo:

Si una empresa española ha subido a su perfil en Twitter fotografías en las que aparezcan personas identificables, puede decidir solicitar la autorización del Director de la Agencia Española de Protección de Datos. Para ello, tendrá que presentar antes del 29 de enero los documentos siguientes (más info):
– Escrito de solicitud.
– Contrato «Empresa-Twitter» firmado por las partes y una traducción jurada al español.
– Poderes suficientes de los firmantes y una traducción jurada al español.
– La inscripción de los ficheros deberá encontrarse actualizada.

En caso de que llegue el 29 de enero y la empresa española no haya cumplido, la Agencia podrá iniciar un procedimiento para suspender temporalmente las transferencias. Esto incluye:
– Obligación de parar de alojar dichas fotografías en Twitter. Es posible que la Agencia inicie un procedimiento para impulsar este cese.
– Posible inicio de un procedimiento de inspección.
– Posible sanción con multa de 300.001€ a 600.000€ por comisión de una infracción muy grave de protección de datos.

Es raro que la Agencia abra un procedimiento de oficio. Lo más habitual es que tenga su origen en un procedimiento abierto a instancia de parte; es decir, si hay denuncia.

Es importante recordar que una empresa, si bien es tan solo responsable del tratamiento respecto de los datos alojados por los usuarios en redes sociales así como respecto de la lista de seguidores, seguidos, RTs y FAVs, es responsable del tratamiento respecto de los datos de terceros que ella misma decide subir a la red social. Esta circunstancia se da cuando una empresa decide subir las fotos de sus empleados a su página en Facebook o su perfil en Twitter. Ante estos casos, será necesario optar por una de las opciones antedichas para cumplir adecuadamente la ley.

Más información:

En relación con los Widgets: Tener un widget de Twitter en una página no implica que a través de él la empresa titular de la web esté realizando transferencias internacionales de datos. Sin embargo, debe prestarse especial atención al cumplimiento de la denominada Ley de Cookies en lo relativo, especialmente, al bloqueo de la extracción de datos que se produce a través del mismo y, sobre todo, cuando el widget se muestra en intranets y secciones privadas de sitios web.

Nuestro compañero Pablo Uslé (@UslePR), abogado de Abanlex, ha redactado este otro artículo con información ampliada: La AEPD está enviando este requerimiento a todas las empresas con encargados del tratamiento en EEUU. Joaquín Muñoz (@JoaquinMunoz), socio de Abanlex, ha colaborado con El País para publicar este artículo: Las empresas españolas tendrán que legalizar el envío de datos a EE UU.
Si su empresa necesita adecuarse al cambio, contacte con nosotros.

Contacte con Abanlex

Volver

Se ha enviado tu mensaje

Abanlex le atenderá. Se le avisa de que actualmente la firma no está aceptando nuevos clientes, aunque, si nos escribe a través del formulario, recibiremos su mensaje y trataremos de ponerle en contacto con otro profesional del derecho o firma jurídica de confianza que pueda ayudarle. Puede ejercer sus derechos como se indica en Privacidad.