Decíamos en nuestro anterior post que el titular de un periódico señalaba que la Agencia Española de Protección de Datos (AEPD) había prohibido usar Dropbox o Google Apps, poniendo como límite para que las empresas regularizaran su situación antes del 29 de enero de 2016. En dicho post se veía que esto no es verdad, simplemente hay que cumplir ciertos requisitos para usar esas herramientas.

Todo esto tiene su origen en la sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015 por el que se anulaba el protocolo “Safe Harbour”. Sin embargo, la Unión Europea no se ha quedado parada y trabaja en un nuevo acuerdo con Estados Unidos para que se puedan seguir realizando transferencias internacionales de datos de manera legal. Este nuevo acuerdo se denomina “Privacy Shield”. Al día de la publicación de esta entrada no ha sido aprobado ese acuerdo.

Por el momento, la transferencia internacional de datos que se realiza a través de empresas con sede en EEUU (como son Google, Dropbox, Mailchimp o SendInBlue), debe ser autorizada por la Directora de la AEPD. Para solicitar la autorización se debe aportar:

• Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos, así como descripción de la finalidad de la transferencia.
• Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
• Poderes suficientes de los firmantes (importador y exportador), y en su caso, traducción jurada al español.


Pues bien, de los 4 ejemplos de empresas que hemos puesto, únicamente conozco que Mailchimp sí tiene un contrato que acepte la AEPD. Ese contrato se solicita directamente a Mailchimp (hay que traducirlo porque viene en inglés), pero la AEPD no da validez a su poder de representación, así que Mailchimp está trabajando en otro que sí valga.

El resto de empresas no tiene ningún contrato, sólo una serie de condiciones generales que te puedes descargar desde un enlace de una web. Es este el motivo que ha provocado que Google esté negociando con la UE un poder y un contrato que sí recoja todo lo necesario para que la AEPD lo acepte (volví a hacer otra consulta a la AEPD y me comentaron que el contrato tardará unos 2 o 3 meses, aunque el plazo podría ampliarse un poco).

En relación con Dropbox y otros servicios de Cloud Computing… tampoco existe ese contrato.

¿Cuál es la posición que ha adoptado la AEPD? Pues la posición intermedia. La AEPD es consciente de la dificultad que, en esta materia de transferencias internacionales de datos, conlleva poder cumplir con la LOPD. De hecho, es imposible. Así que la AEPD está permitiendo el uso de estas herramientas amparándose en el artículo 34.e) de la LOPD (sí podrán hacerse transferencias internacionales de datos cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista).

Esto quiere decir que si el usuario de nuestra web nos da su consentimiento para que enviemos sus datos a Estados Unidos no habrá ningún problema. No obstante, pedir el consentimiento a todos y cada uno de nuestros visitantes es una tarea imposible, así que la propuesta de la AEPD es hacerlo de manera genérica e informativa, es decir, hay que ofrecer la información de la transferencia internacional de datos en la web y, si el usuario sigue navegando después de haberla leído, es que la acepta.

A modo de ejemplo, esto es lo que hemos hecho en algunas páginas web:

La navegación por la página web xxxxx.com y el uso de sus servicios implican una transferencia internacional de datos personales a los Estados Unidos de América. De conformidad con el artículo 34.e) LOPD y del artículo 26.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, si continúa navegando, consideramos que presta su consentimiento inequívoco a la transferencia. No obstante, podrá oponerse a la transferencia solicitándolo por escrito al e-mail info@xxxx.com o por Correos a la siguiente dirección: XXXXX, S.L, C/ XX, nº x, ciudad.

Esta cláusula, que recomendamos se incluya se incluya, como mínimo, en el Aviso Legal, Privacidad y Condiciones de Compra, nos permitirá temporalmente seguir trabajando como hasta ahora con Google Analytics o Dropbox.

Eso sí, el hecho de incluir esta cláusula no implica que ya no tengamos la obligación de cumplir con los nuevos requisitos de la LOPD, por lo que seguirá siendo necesario conseguir tanto el contrato como el poder, y solicitar la autorización a la Directora de la AEPD. Aunque también es cierto que cabe la posibilidad de que la UE apruebe con los EEUU el acuerdo Privacy Shield y podamos seguir como hasta ahora.

Mientras tanto, nuestra recomendación es que utilicéis la cláusula anterior para recabar los consentimientos de los usuarios y que, esperemos por el bien de todos, se apruebe el acuerdo con EEUU para que todo vuelva a la normalidad y evitemos que nos multen.

Antonio Fagundo Hermoso.
Abogado en Conteros Asociados.
Director Gerente de Masaltos.com.
Profesor Máster en Gestión de Marketing y Ventas IE Cajasol.
Profesor Máster del Superior en Abogacía y del Máster en Derecho de las Nuevas Tecnologías de la Universidad Pablo de Olavide.
Colaborador del Máster Universitario en Gestión Estratégica y Negocios Internacionales de la Universidad de Sevilla
Profesor de ESIC-ICEMD.
Asesor legal de Foro Marketing Sevilla.
Twitter: @jovenantuan