La abolición del tratado de Puerto Seguro por el que se prohíben las transmisiones de datos de carácter personal a EEUU fue una decisión de gran calado por parte de las autoridades europeas y esta semana se han desatado una serie de rumores que dejan constancia de las importantes consecuencias que en el futuro podría tener para empresas y usuarios dada la gran penetración que los servicios de cloud computing tienen en el día a día de la empresa moderna.
El pasado martes, el diario digital El Confidencial publicaba que la Agencia Española de Protección de Datos (AEPD) había dado un ultimátum a las empresas españolas para que dejen de utilizar servicios de cloud computing tan extendidos hoy en día como Dropbox, Google Drive o Mailchimp porque sus centros de almacenamiento de datos están situados en los Estados Unidos, un país que no ofrece, según el criterio del Tribunal de Justicia de la Unión Europea, las garantías suficientes para el tratamiento seguro de estos datos.
Esta información provocó un gran revuelo en ambientes empresariales y la propia AEPD ha tenido que salir al paso de estos «rumores» desmintiendo su veracidad en un comunicado. La AEPD ha subrayado en su escrito que «desde la AEPD no se ha dado ningún ultimátum a las empresas españolas» pero sí puntualiza que informará a aquellas que usen servicios susceptible de incurrir en envío de datos a EEUU «que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE».
Esto parece significar que la presión para la adaptación a las nuevas circunstancias tras la abolición del Tratado de Puerto Seguro no recaerá en el usuario final sino en el proveedor de servicios. Sin embargo, consideramos que es aconsejable para el usuario ponerse en contacto con su proveedor (Google Docs, Dropbox, Mailchimp, etc…) para, como indica la AEPD, solicitarle información sobre los pasos que estén dando para adaptar sus operaciones a los nuevos requerimientos.
Hoy en día, plataformas de almacenamiento en la nube como las que ofrecen Amazon, Dropbox, Apple, Adobe o Google son de uso casi obligado para desempeñar un buen número de tareas que forman parte indispensable de una empresa moderna como el email, el backup automático o el alojamiento web por citar algunas de las más comunes. La abolición del Tratado de Puerto Seguro podría tener un gran impacto en las operaciones de estas empresas que con mucha probabilidad se verán obligadas a tomar medidas para adaptarse a la nueva legislación.
En caso de que las autoridades de protección de datos europeas decidiesen prohibir el uso de todos los servicios que realicen transferencias de datos a los EEUU, la aplicación práctica de esta medida tendría un gran impacto en los procesos productivos de muchas empresas porque en algunos casos ni siquiera existe una alternativa europea a estos servicios, o al menos una con el mismo nivel de servicio. Por ejemplo, no existe una suite de aplicaciones de office online europea similar a Office 365 o Google Docs y empresas que usen ya estos servicios tendrían que migrar todos sus datos a nuevas plataformas, algo que presenta grandes dificultades de plazos e implementación. Nos encontramos ante una decisión cuya aplicación práctica presentaría grandes retos y costes para las empresas y es por ello muy razonable que el peso de la adaptación se traslade al proveedor de servicios y no al usuario. Aunque, eso sí, en última instancia el usuario podría verse afectado en caso de que los proveedores no lograsen una solución satisfactoria ya que, en este caso, podrían ver sus actividades suspendidas en Europa.
En todo caso la actitud de las autoridades es dialogante, como se desprende del comunicado de la AEPD:
«La Agencia, junto con las Autoridades europeas de protección de datos, apuesta por encontrar soluciones sostenibles para aplicar la sentencia del TJUE e insiste en el llamamiento realizado a las Instituciones de la UE, los Estados miembros y las empresas para encontrar un camino que permita el cumplimiento de la sentencia del Tribunal.»
Una solución que haría todo más fácil para todas las partes sería que las plataformas con «data centers» situados en los Estados Unidos, abriese sedes en territorio europeo y bajo legislación comunitaria, algo que ya ha hecho Microsoft que en enero de 2016 ya dispondrá de un data center operativo en el Reino Unido. Esta parece la solución más viable técnicamente y efectiva desde el punto de vista regulatorio. Estaremos atentos a las soluciones que se planteen.
Enlaces relacionados:
Comunicado de la AEPD
https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/AplicacionSentenciaSH-ides-idphp.php
Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps – El Confidencial
http://www.elconfidencial.com/tecnologia/2015-12-08/ultimatum-de-la-aepd-a-empresas-espanolas-prohibido-usar-dropbox-o-google-apps_1116043/
Microsoft abre Data Center en Reino Unido – The Guardian
http://www.theguardian.com/technology/2015/nov/10/microsoft-open-first-uk-data-centres-safe-harbour
Abolición del tratado de Puerto Seguro – Blog PSN Sercon
https://psnsercon.com/blog/index.php/el-tratado-de-puerto-seguro-es-historia
Foto de NASA Goddard Space Flight Center bajo licencia Creative Commons 2.0
https://creativecommons.org/licenses/by/2.0/
