En los últimos días, y gracias al titular de un periódico (Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps), me han hecho esta consulta bastantes veces. Es cierto que el titular es algo dramático y que la propia Agencia Española de Protección de Datos salió a desmentir que fuera un ultimátum, pero también es cierto que sí existe una fecha tope (29 de enero de 2016), y que la interpretación que ahora hacemos de la LOPD ha cambiado, obligándonos a actuar si no queremos ser multados.

Cuando el Tribunal de Justicia de la Unión Europa dictó su sentencia de 6 de octubre de 2015, por la que anulaba el protocolo Safe Harbour o Puerto Seguro (un proceso de cooperación por el que las organizaciones de Estados Unidos cumplen con la Directiva 95/46/CE de la Unión Europea, relativa a la protección de datos), no se planteó que la mayoría de las pequeñas y medianas empresas trabajan activamente con empresas norteamericanas como Dropbox o Google, a las cuales cedían sus datos para poder prestar un mejor servicio a sus usuarios, pensando que todo era legal.

Sin embargo, la Unión Europea cree que EEUU no es un puerto seguro (sus leyes permiten que las autoridades públicas puedan ver, sin motivo y de forma generalizada, tus comunicaciones electrónicas), porque no respeta los principios básicos de la LOPD, entre otros, el consentimiento: te doy mi consentimiento para que trates mis datos.

Pues bien, este movimiento (permitir a Google Analytics que analice los datos de mis clientes, que es lo mismo que darle los datos), se llama “Transferencia Internacional de Datos”. La LOPD la define como: “Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español”.

La anterior definición significa que yo (empresa) puedo darle los datos que manejo a otra empresa que esté fuera del EEC (por ejemplo, Dropbox), para que esta nueva empresa los use para lo que yo quiero o que los use en mi nombre.

Por cierto, la LOPD me denomina a mí (que soy el que tiene la base de datos), como “responsable del fichero”.

Eso es lo que ocurre cuando trabajamos con Google Analytics, Google Drive o Dropbox, que les estamos dando nuestros datos para que nosotros mismos podamos obtener un servicio… y se los estamos dando sin que el titular de los datos lo sepa y sin su consentimiento.

A día de hoy, no hay ningún problema en trabajar con empresas que estén dentro de la EEC. Además, la UE entiende que tienen un nivel adecuado de protección, y por tanto se puede trabajar con ellos, los siguientes países:
• Suiza.
• Canadá.
• Argentina.
• Guernsey.
• Isla de Man.
• Jersey.
• Islas Feroe.
• Andorra.
• Israel.
• Uruguay.
• Nueva Zelanda.

Esto no quita que haya que celebrar un contrato con las empresas de esos países, puesto que son terceros que van a manejar tus datos en tu nombre, sin hacerlos suyos (como ocurre con las empresas de mensajería en ecommerce).

¿Quiere eso decir que, al no ser un puerto seguro, es ilegal trabajar con empresas norteamericanas o de cualquier otro país que no sea uno de los anteriores? No. Se puede seguir trabajando con esas empresas, pero es necesario cumplir una serie de requisitos.

Para asegurarme planteé una consulta al Registro General de Protección de Datos, la cual fue resuelta el pasado 27 de enero y firmada por el Jefe De Area, D. Manuel Villaseca López.

A grandes rasgos, la respuesta de la AEPD viene a decir que, salvo que exista consentimiento del titular de los datos (pedirle el consentimiento a todos y cada uno de los titulares que analizo en Google Analytics, eso parece imposible), y analizando este tema desde el punto de vista del marketing, es necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos.

Dicha autorización será otorgada en el caso de que el responsable del fichero (nuestra empresa) aporte un contrato celebrado entre el exportador y el importador de datos en el que consten las garantías necesarias, en los términos previstos en las Decisiones de la Comisión de las Comunidades Europeas 2001/497/CE de 15 de junio de 2001 (transferencias de responsable a responsable) y en la Decisión 2010/87/UE de 5 de febrero de 2010 (transferencias de responsable a encargado de tratamiento).

Para solicitar la autorización, basada en alguna de las cláusulas contractuales tipo citadas anteriormente, se deberá aportar:
• Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos, así como descripción de la finalidad de la transferencia.
• Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
• Poderes suficientes de los firmantes (importador y exportador), y en su caso, traducción jurada al español.

En cuanto a la prestación de servicios de cloud computing, deberá ser su prestador (al que le doy los datos) el que habrá de ofrecerle la información sobre las características del servicio contratado y las implicaciones en materia de protección de datos. En el siguiente enlace se puede acceder a la guía de la AEPD sobre la contratación de dichos servicios: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_Cloud.pdf

En el siguiente enlace de la web de la AEPD se puede obtener la información sobre el régimen de transferencias internacionales de datos: https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-idesidphp.php

La cuestión no parece fácil, ni sencilla, ni rápida, puesto que estamos hablando de pedir una autorización y de aportar un contrato (original y copia compulsada), acreditando mediante poderes que las personas que firman tienen esos poderes para firmar.

Como todos sabéis, la mayoría de las veces no hay un contrato firmado, sino que simplemente hay una serie de condiciones generales que te puedes descargar desde un enlace de una web. Todo esto hace que la cosa se complique un poco más.

En mi opinión de abogado, este “ultimátum” no se aplica a las redes sociales como Facebook, Twitter o Instagram por lo que hemos dicho antes. En las redes sociales, los datos personales son cedidos por sus titulares a la red social (es algo que aceptas al darte de alta), así que no eres tú (empresa) el que facilita los datos a Facebook, simplemente utilizas los que ella tiene. Esta es una opinión particular mía: aquí no hace falta pedir autorización.

La transferencia de datos requiere eso, transferir los datos a un tercero (cederlos o transmitirlos), por eso también creo que los programas de publicidad de los buscadores de internet (Google Adwords, Bing Ads y Yahoo ads, etc.), tampoco están afectados por esta regulación y no necesitan solicitar autorización de la AEPD.

Otra forma de ver si estamos obligados o no a pedir autorización es ver de qué país es la empresa que nos presta sus servicios. Por ejemplo, la empresa de retargeting Brainsins es española. Al estar dentro del EEC no hace falta autorización. Sin embargo, en el caso de SendInBlue o MailChimp (empresas de envío masivo de emails), sí sería necesario pedir autorización porque tiene su sede en EEUU.

En estos casos sí estamos facilitando de uno u otro modo los datos que manejamos como empresa (nuestra base de datos) a terceras empresas para que los manejen (los usen para enviar un email). Eso es una transferencia y, por ese motivo, también estarían afectos todos los servicios de la nube (como Dropbox, Google Docs, Google Drive, etc.), Google Analytics y sus homólogos en Bing o Yahoo, así como Google Apps. El uso de todos estos servicios sí está sujeto a autorización.

Como vemos, la situación ha generado mucha inseguridad, por lo que parece razonable que la AEPD vaya ayudando cada vez más a las empresas que quieras regularizar su situación. No obstante, y como consejo, empezad a recabar los documentos y a pedir la autorización.

Antonio Fagundo Hermoso.
Abogado en Conteros Asociados.
Director Gerente de Masaltos.com.
Profesor Máster en Gestión de Marketing y Ventas IE Cajasol.
Profesor Máster del Superior en Abogacía y del Máster en Derecho de las Nuevas Tecnologías de la Universidad Pablo de Olavide.
Colaborador del Máster Universitario en Gestión Estratégica y Negocios Internacionales de la Universidad de Sevilla
Profesor de ESIC-ICEMD.
Asesor legal de Foro Marketing Sevilla.
Twitter: @jovenantuan