Los efectos de la sentencia "Safe Harbor"

En este pequeño comentario venimos a referir, las implicaciones de la sentencia a profesionales independientes, considerando que resulta habitual, en el desempeño de sus funciones, utilizar servicios de almacenamiento de archivos en servidores tales como Dropbox, iCloud, Google+, etc. por razones eminentemente prácticas y operativas debido a su fácil accesibilidad desde cualquier dispositivo electrónico.

A efectos aclaratorios, determinar que las compañías que gestionan estos servicios, tienen sus servidores radicados en EEUU, por lo que su uso deriva la necesidad de operar una “transferencia internacional de datos”, y por tanto cumplir con lo establecido en la Ley Orgánica de Protección de Datos (LOPD). Para que las transferencias internacionales cumplan la normativa, deben ser previamente autorizadas por la Agencia Española de Protección de Datos (AEPD), salvo que se hagan con destino a países que tengan convenio reconocido por la Comisión Europea, con un nivel de protección equiparable al existente en Europa.

Desde hace tiempo y con el objeto de salvaguardar esta herramienta de trabajo, de forma excepcional, la Comisión Europea facultó expresamente las transferencias de datos a empresas estadounidenses, siempre que éstas, estuvieran adheridas a los Principios de Safe Harbor (Puerto Seguro), de tal forma que se establecieron exigentes protocolos de seguridad que aseguraban el nivel de protección y lo equiparaban al dispuesto por la normativa europea.

Como es lógico, todos los grandes proveedores, tales como Dropbox, Apple o Google se adhirieron a este sistema, razón por la cuál, se ha permitido que utilizáramos sus servicios sin vulnerar el régimen legal vigente.

En el escenario definido, la situación se ha visto alterada por la Sentencia del Tribunal de Justicia de la Unión Europea, de fecha 6 de octubre de 2015, que ha venido a anular los Principios de Safe Harbor, estableciendo que no ofrecen las garantías reales de cumplimiento y en modo alguno son equiparables a la legislación europea sobre protección de datos.

El efecto de la resolución ha colocado a los usuarios en una situación sobrevenida de ilegalidad; entendiendo que para que un profesional independiente pueda seguir utilizando estos servidores “en la nube” ubicados en los EEUU, deberá ahora obtener la autorización de la AEPD, lo que, en la práctica, exigiría que Google o Dropbox aceptasen firmar un contrato que incluyese un clausulado tipo, fijado por la Comisión Europea; hecho que obviamente, está fuera del alcance de cualquier ciudadano de a pié.

Las Autoridades Europeas, como medida transitoria, llegaron a un consenso en el sentido que no se adoptarán medidas contra los usuarios hasta, al menos, febrero de 2016, ofreciendo un plazo razonable para adaptarse a la nueva situación y en la esperanza que pueda alcanzarse un nuevo convenio Safe Harbor que sustituya al anterior.

Ante tal incertidumbre, nos encontramos a la expectativa sobre las medidas a adoptar por las autoridades, si bien a día de hoy la ilegalidad es latente y de nuestro lado no cabe otra recomendación, que NO utilizar servicios en la nube de estas empresas ó bien deberemos buscar un proveedor que nos garantice que no se llevarán los datos fuera del Espacio Económico Europeo.

Balms Abogados Madrid