APECDATA, la Asociación de Proveedores Españoles de Cloud y Data Center, ha dado a conocer los resultados del informe jurídico “Elección de proveedores de cloud y sus implicaciones en materia de transferencias internacionales de datos” que analiza las principales cuestiones legales y técnicas en relación a la elección de proveedores de cloud y sus implicaciones en materia de protección de datos personales. Se trata de un paso más de la Asociación en su afán por demostrar al mercado la importancia de trabajar en un perímetro de datos confiable a la hora de llevar aplicaciones empresariales, o datos, a la nube.
El documento pone de relieve, tal y como establece el RGPD (Reglamento General de Protección de Datos), que cualquier transferencia de datos personales fuera del EEE (Espacio Económico Europeo) a un tercer país deberá llevarse a cabo en base a determinadas garantías. En este sentido APECDATA recuerda que las autoridades de protección de datos ya se han pronunciado respecto de distintos proveedores de servicios tecnológicos que no cumplen con las garantías necesarias para llevar a cabo transferencias internacionales de datos.
Cualquier tratamiento llevado a cabo por un proveedor ubicado en Europa que tenga determinados vínculos con una entidad estadounidense, implicará un riesgo desde la perspectiva de cumplimiento con la protección de datos
El informe destaca que cualquier tratamiento llevado a cabo por un proveedor ubicado en Europa que tenga determinados vínculos con una entidad estadounidense, implicará un riesgo desde la perspectiva de cumplimiento con la protección de datos. APECDATA insiste en la importancia de aplicar medidas de seguridad que garanticen que las transferencias internacionales se lleven a cabo de acuerdo con la normativa europea de protección de datos.
Riesgos legales, técnicos y de seguridad
El tratamiento de datos por parte de proveedores que tengan su matriz o algún factor de conexión con Estados Unidos (EE.UU.), a pesar de tener su ubicación física dentro del EEE, supone ciertos riesgos, tanto legales como a nivel técnico y de seguridad de los sistemas utilizados, que deberán analizarse y tener presentes en el momento de seleccionar un tercero para el tratamiento de datos personales.
Desde el punto de vista legal, se podría dar la situación de que datos personales de europeos alojados en servidores de entidades estadounidenses con sede en Europa, fueran tratados por autoridades estadounidenses de acuerdo con su normativa y, por tanto, implicar una transferencia internacional no conforme con la normativa europea. Se da la circunstancia de que en EE.UU. el Cloud Act, una de las fuentes que regulan la legislación en las disposiciones aplicables a proveedores allí ubicados, permite el acceso de las autoridades a los datos almacenados en servidores de empresas estadounidenses (como correos electrónicos, mensajes de texto o chats) con independencia de su ubicación.
Es decir, esta habilitación es también aplicable cuando los datos se encuentren alojados fuera de sus fronteras (incluida la UE), al amparo de una orden judicial.
En línea con lo anterior, en virtud de esta norma se podrían producir transferencias internacionales de datos con destino a EE.UU. (cuando exista una orden judicial justificada por motivos de seguridad nacional), sin tener en cuenta acuerdos internacionales existentes en el ámbito de la cooperación internacional u otros acuerdos específicos en materia de protección de datos al que pueda estar obligada la entidad o empresa estadounidense responsable.
En este sentido, APECDATA recuerda que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den las circunstancias previstas como excepciones.
.En definitiva, un proveedor de cloud basado en territorio del EEE puede ofrecer unos servicios que, a priori, aportan una seguridad jurídica y técnica más alineada con la normativa de protección de datos europea.
Índice de temas
Posibles sanciones administrativas
APECDATA destaca también que la realización de transferencias internacionales de datos personales que no adopten las garantías necesarias podría dar lugar a multas administrativas de hasta 20 millones de euros o de hasta un 4% del volumen de negocio total anual global.
Para evitar este tipo de sanciones, APECDATA recomienda que para la contratación de estos servicios se tengan en cuenta de forma prioritaria cuestiones como la ubicación del proveedor y dónde se tratarán de forma efectiva los datos, las medidas de seguridad aplicadas y las garantías contractuales que pudiera ofrecer el proveedor de cloud.
Las consecuencias para los usuarios de la utilización de este tipo de plataformas pueden suponer una pérdida de control sobre sus datos personales, mientras para las entidades es asumir riesgos innecesarios ya que los usos de dichos sistemas podrían suponer incumplimientos de la normativa de protección de datos personales.
Garantías para la correcta transferencia internacional de datos
Según se desprende del informe, la transferencia internacional de datos podrá tener lugar, siempre y cuando se ofrezcan “garantías adecuadas”, como la disposición de instrumentos jurídicamente vinculantes y exigibles entre autoridades, normas corporativas vinculantes y cláusulas tipo en materia de protección de datos personales que sean adoptadas por la Comisión.
Asimismo, deberá ser exigible que tanto el Importador como el Exportador de los datos se encuentren adheridos a algún código de conducta aprobado por parte de alguna autoridad nacional de protección de datos, junto con compromisos vinculantes y exigibles de Importador y Exportador, incluidos los de los derechos de los interesados.
Por último, APECDATA pone de relieve la importancia de que tanto el Importador como el Exportador se encuentren adheridos a mecanismos de certificación oficiales, ya sea por vía contractual o mediante instrumento jurídicamente vinculante para aplicar las garantías.
APECDATA es firme defensora de la creación de un Espacio Europeo de Datos frente al avance de los gigantes tecnológicos americanos y de la puesta en marcha de un marco regulatorio que proteja los derechos personales y la privacidad por encima de los intereses económicos a la hora de confiar los datos a un tercero.
En definitiva, se trata de que los datos que se generen en Europa se queden en el continente, se rijan por las leyes de la UE y no dependan de multinacionales extranjeras que los utilicen para generar un beneficio que posteriormente no revierte en las propias arcas europeas.