Cada día es más frecuente que las organizaciones, sin necesidad de tener un gran tamaño o gran número de empleados, sean consideradas multinacionales en toda regla, en tanto operan a nivel internacional, contando tanto con presencia física, como con presencia “virtual” en múltiples Estados repartidos por el Globo.
Cada vez más y gracias especialmente a Internet y las diferentes aplicaciones y soluciones que se van desarrollando sobre ésta, hace que nuestras empresas y organizaciones sea más globales. Sin duda alguna, esto es una buena noticia para todos, en tanto nos está haciendo más competitivos, como personas y como Estado.
La globalización de nuestras organizaciones, como no podía ser de otra forma, implica la globalización de elementos como la información, los datos personales y el tratamiento de los mismos, utilizando para ello sistemas descentralizados, deslocalizados y en la mayoría de los casos, repartidos entre varios Centros de Procesos de Datos ubicados a miles de Kilómetros.
Este hecho implica necesariamente que las organizaciones, con independencia de su tamaño y si son públicas o privadas, tengan que abordar con cierta frecuencia el proceso de adecuación legal de todas las transferencias internacionales de datos que en el día a día requieren para poder funcionar como organización y prestar los diferentes servicios con los que cuentan.
Es habitual, y muchos de los lectores lo reconocerán así, que muchas organizaciones decidan recurrir a servicios de alojamiento web (Hosting) que son prestados por parte de empresas de nacionalidad norte americana, japonesas, indues o compañías que, con el fin de lograr presencial internacional en varios Estados asumiendo el mínimo coste posible, deciden llegar a acuerdos con partners locales que se encargarán de captar, tratar y analizar multitud de datos personales de carácter comercial por cuenta de la empresa titular de dichos datos, la compañía española.
Actualmente, tanto la Directiva Europea Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como todas las legislaciones nacionales en materia de Protección de Datos Personales, establecen que cualquier tratamiento de datos personales para la prestación de un servicio que sea realizado fuera del territorio del Espacio económico Europeo requiere la previa autorización por parte del Director de la Agencia Española de Protección de Datos, que llevará a cabo para cada caso, un minucioso análisis del cumplimiento de una serie de obligaciones, entre las que cabe destacar:
a) La existencia de un contrato de prestación de servicios que comprenda las cláusulas expresamente recogidas en la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo
b) La firma de dicho contrato por parte de las personas con poderes suficientes, tanto por parte del prestador del servicio (ubicado fuera del Espacio Económico Europeo), como por parte del responsable del fichero ubicado dentro del Espacio Económico Europeo.
c) La existencia de documentación acreditativa de los poderes necesarios para poder proceder a la firma de dicho contrato.
No obstante, la obligación de obtener autorización previa por parte del Director de la Agencia Española de Protección de Datos cuenta con varias excepciones, como son:
a) Que los datos vayan a ser transferidos o tratados por parte de una entidad ubicada a un Estado cuyo nivel de seguridad se ha considerado equiparable por parte de la Comisión Europea.
b) Que los datos vayan a ser transferidos o tratados por parte de una entidad norte americana que se haya sometido previamente a los siete principios de seguridad y privacidad establecidos por la Cámara de Comercio de Estados Unidos, de común acuerdo con la Comisión Europea y por tanto se encuentre dada de alta en el Puerto de Protocolo Seguro.
Muchas son las organizaciones proveedoras de servicios globales de carácter tecnológico que se encuentran dadas de alta en dicho registro público de la Cámara de Comercio de Estados Unidos, pudiendo encontrar actualmente compañías como Google, SAP, Microsoft, Yahoo!, Facebook, Mail Chimp, Amazon Web Services, entre otras.
Todas ellas, han detectado la necesidad y el claro retorno de la inversión que supone pasar a formar parte del Puerto de Protocolo Seguro en tanto el aumento de las contrataciones provenientes desde clientes de la Unión Europea aumenta exponencialmente.
Ahora bien, pocos desde este lado del charco conocen plenamente cuáles son los requisitos que estas compañías deben cumplir para que la Cámara de Comercio de Estados Unidos pueda incluirlas en el famoso listado.
Concretamente, toda organización que desee forma parte del Puerto de Protocolo Seguro debe, además de abonar las tasas públicas correspondientes, llevar a cabo una declaración responsable en la que manifiesta el compromiso de la organización de cumplir con los siete principios de seguridad y privacidad indicados a continuación:
a) Notice: deber de cumplir con el principio de información, de tal forma que todas las entidades adheridas se comprometen a informar a los titulares de los datos de las finalidades para las que serán tratados los datos tratados, así como el tipo de tratamiento que se realizará de los mismos.
b) Choice: deber de cumplir con el principio de consentimiento, de tal forma que el titular de los datos personales es el único capacitado en cualquier momento a decidir sobre la recogida, tratamiento y transferencia de sus datos personales
c) Transfer to third parties: deber de garantizar al titular de los datos que los datos que sean transferidos, en ningún caso serán puestos a disposición de terceras entidades y que en caso de hacerlo, únicamente se hará a entidades que se encuentren adheridas al Puerto de Protocolo Seguro o en su caso, a entidades que se encuentren ubicadas dentro del territorio del Espacio Económico Europeo.
d) Security: deber de garantizar que se aplicará de forma permanente a todos los ficheros las medidas de seguridad de carácter organizativo y técnico necesarias para evitar la alteración, perdida, tratamiento o acceso no autorizado por parte de terceros ajenos a la relación contractual principal.
e) Data integrity: deber de garantizar la calidad de los datos personales, siendo fiables y adecuados a la finalidad para la que serán tratados, no pudiendo exceder en ningún momento el tipo de datos necesarios, ni que éstos se encuentren desactualizados.
f) Enforcement: deber de cumplir y hacer cumplir todos los principios derivados del protocolo de adhesión al Puerto de Protocolo Seguro, recurriendo para ello al establecimiento de mecanismo independientes de resolución de conflictos y verificación periódica del cumplimiento de las obligaciones.
El control del cumplimiento lo realizan las propias entidades adheridas, sin que exista un organismo independiente que se encargue de controlar de forma efectiva que todas y cada una de las manifestaciones y compromisos que realizan las compañías adheridas son efectivamente cumplidos de forma permanente por as entidades adheridas.
Otra de las características de este modelo, es que el listado existente en la Cámara de Comercio de los Estados Unidos no siempre se encuentra totalmente actualizado, siendo frecuente encontrarse en el mismo compañías que o bien han cambiado de actividad o que han desaparecido y cesado en su actividad, lo que sin duda alguna lleva a situaciones en las que la efectividad del listado, por razones obvias, pierde el valor que en un principio debiera tener dadas sus características.
Es importante que toda entidad interesada en contratar a un prestador de servicios ubicado fuera del territorio del Espacio Económico Europeo, debe tener presente que el cumplimiento de los requisitos necesarios para llevar a cabo transferencias internacionales de datos anteriormente descritos, no implica necesariamente que se cumpla íntegramente con los requisitos dispuestos en el artículo 12.2 de LOPD, en lo que respecta a las obligaciones que el Encargado de Tratamiento debe asumir contractualmente.
En este sentido, es frecuente que los responsables del fichero, una vez realizada la transferencia internacional de datos personales a una entidad, prestadora de servicios (encargado de tratamiento) ubicada en Estados Unidos y que efectivamente se encuentra dada de alta en el Puerto de Protocolo Seguro, consideren que han finalizado sus obligaciones en lo que respecta a la adecuación del tratamiento de datos personales por parte de dicha entidad, lo que sin duda alguna dista bastante de la realidad en tanto el responsable del fichero, debe velar además porque el contrato de prestación de servicios existente con el Encargado de Tratamiento garantice que éste se compromete a :
a) Que únicamente tratará los datos conforme a las instrucciones del responsable del fichero.
b) Que no aplicará o utilizará los datos con fin distinto al que figure en dicho contrato.
c) Que no comunicará los datos, ni siquiera para su conservación, a otras personas, salvo que se cumpla con lo dispuesto en el art. 21 del RLOPD.
d) Que una vez finalizada la prestación de servicio, se compromete a devolver los datos de carácter personal o en su caso se responsabiliza de eliminarlos de forma segura.
Sin duda alguna, un mundo tan extraordinariamente globalizado como el actual, en el que la información transaccional y el tratamiento de la misma se encuentra plenamente descentralizado, requiere de la simplificación del procedimiento para el trabajo desde diferentes ubicaciones, especialmente cuando dicho trabajo se centre en el tratamiento de datos.
En este sentido, es necesario, desde nuestro punto de vista acometer una profunda reforma del modelo de "homologación" de las transferencias internacionales de datos, que permita a los responsables del fichero poder trabajar y desarrollar modelos de negocio y en definitiva riqueza para nuestros Estados, sin que el cumplimiento de requisitos burocráticos encaminados a la protección, quizás en algunos casos sobre-protección de los derechos de nuestros ciudadanos, ponga a nuestras empresas y organizaciones en una desventaja competitiva respecto a entidades ubicadas en otros Estados, como Estados Unidos, Asia o América del Sur.
