Nota Informativa - Infografía: Soluciones tras la invalidez de Safe Harbor

24 noviembre, 2015

“Tras el Safe Harbor los Responsables de Ficheros deberán optar por el Safe Data”

Tras la Sentencia del Tribunal de Justicia de la Unión Europea C-362/2014 de 6 de octubre de 2015 que invalidaba el denominado Protocolo Safe Harbor en relación con las transferencias internacionales de datos entre Europa y Estados Unidos, los Responsables de Ficheros deben proceder a regularizar los tratamientos de datos que se estaban realizando acogidos a este sistema, tal y como está notificando la propia Agencia Española de Protección de Datos durante los últimos días.

En relación con las transferencias internacionales de datos realizadas con destino a países que no proporcionen un nivel de protección equiparable sin autorización de la Directora de la Agencia Española de Protección de Datos, salvo aquellos supuestos en los que conforme a la normativa en materia de protección de datos dicha autorización no resulta necesaria, debe recordarse, que pueden ser calificadas como infracciones muy graves (art. 44.4.d LOPD), sancionadas con multa de 300.001 a 600.000 euros.

Así las cosas, pendientes de las negociaciones entre Europa y Estados Unidos encaminadas a adoptar nuevos mecanismos que posibiliten las transferencias internacionales de datos conforme a los principios y disposiciones de laDirectiva Europea (Safe Harbor 2.0), cualquier empresa que lleve a cabo transferencias internacionales de datos personales a Estados Unidos (ya fuera a entidades de su mismo grupo empresarial, o a prestadores de servicios -encargados de tratamiento-), deberán proceder a regularizar ante la Agencia Española de Protección de Datos, dichas transferencias internacionales.

Para ello, los responsables de ficheros deberán adoptar alguna de las siguientes opciones, siguiendo las propias recomendaciones realizadas en el comunicado emitido el pasado día seis de noviembre de 2015 por la propia Comisión Europea:

1) Autorización de la Directora de la Agencia Española de Protección de Datos:

Deberá darse cumplimiento a las obligaciones establecidas en la LOPD, y acreditar que han sido obtenidas garantías suficientes respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos (e.g. aportando contrato escrito entre el exportador y el importador de datos en el que consten dichas garantías).

a) Transferencias Internacionales entre responsables de tratamiento: deberán reunir las garantías citadas aquellos contratos celebrados en los términos recogidos en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior. Dichas decisiones contienen cláusulas contractuales tipo, pudiendo optar los Responsables por uno u otro conjunto de cláusulas, no pudiendo modificarlas ni combinarlas.

b) Transferencias Internacionales desde responsable de fichero a encargado del tratamiento: reunirían dichas garantías aquellos contratos que incluyan las cláusulas contractuales tipo establecidas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010.

c) Transferencia Internacional de encargado a subencargado del tratamiento: proporcionarán las garantías adecuadas aquellos contratos que incluyan las cláusulas tipo adoptadas en la resolución de la Agencia Española de Protección de Datos de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012. Junto con el contrato entre el encargado del tratamiento/exportador de los datos e importador/subencargado del tratamiento, se requerirá el contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que aquél autorice la subcontratación y la transferencia internacional de datos.

En estos casos, para solicitar la autorización de la Directora de la Agencia Española de Protección de Datos, deberá aportarse, en los casos en los que es solicitada por el Responsable del Fichero: (i) Escrito de solicitud con identificación de los ficheros objeto de la transferencia, indicación del código con el que figura inscrito en el Registro General de Protección de Datos, (ii) Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español, (iii) Poderes suficientes de los firmantes y, en su caso, traducción jurada al español, en este caso la inscripción de los ficheros deberá encontrarse completamente actualizada.

En los casos en los que el exportador tenga la consideración de encargado de tratamiento deberá aportarse: (i) Escrito de solicitud con identificación del exportador-encargado y del importador-subencargado, (ii) Contrato basado en las Cláusulas Contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español, (iii) Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español, y (iv) Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

Conforme a la normativa vigente en materia de protección de datos, podrán autorizarse transferencias internacionales entre sociedades/empresas de un mismo grupo multinacional de empresas, siempre que se hubieran adoptado normas internas vinculantes para dichas empresas y exigibles conforme al ordenamiento jurídico español. En este sentido el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante, “RLOPD”) establece (art. 70.4 y el Título IX, Capítulo V) el régimen jurídico aplicable a las mismas.

En caso de optar por esta vía deberá tenerse en cuenta los Documentos de Trabajo elaborados por el Grupo del Artículo 29 relativos al contenido de las normas corporativas vinculantes y al procedimiento previo, que se desarrolla entre los diferentes Estados Miembros implicados para la aprobación de éstas.

2) Excepciones a la autorización de la Directora de la Agencia:

Adicionalmente, debe recordarse que el artículo 34 de la LOPD y 66.2 del RLOPD establecen una serie de supuestos exceptuados de la autorización previa de la Directora de la Agencia Española de Protección de Datos:

Cuando la transferencia internacional resulte de la aplicación de tratados o convenios en los que España sea parte.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
Cuando la transferencia sea necesaria para la prevención/diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público (transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias).
Cuando la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

Debemos recordar que la propia Agencia Española de Protección de Datos está contactando con los Responsables de Ficheros acogidos al extinto sistema Safe Harbor, con el fin de que se proceda a la regularización de las correspondientes transferencias internacionales de datos.

Dicho lo cual es necesario tener en cuenta, que a pesar de que se lleve a cabo la regularización de las transferencias internacionales de datos tal y como se ha descrito, si el receptor de la información es una entidad ubicada en territorio de Estados Unidos o de nacionalidad norteamericana la autoridades estadounidenses podrán exigir, de conformidad con la normativa vigente en Estados Unidos, el acceso indiscriminado a la información, tal y como la propia sentencia del TJUE reconoce, habiéndose declarado por el propio tribunal la no adecuación a la normativa de protección de datos Europea dicho tipo de accesos indiscriminado y sin justificación previa adecuada.

En este sentido, las empresas deberán acometer las acciones necesarias para el proceso de regularización, amén de los nuevos mecanismos que puedan ser adoptados por la Unión Europea y los acuerdos que puedan alcanzarse con Estados Unidos, siempre y cuando los mismos garanticen el cumplimiento de los principios recogidos en la Directiva, en aras a una protección efectiva del derecho a la protección de los datos personales de los ciudadanos.

Área de Information Technology ECIJA

Si desea acceder a la infografía, click aquí.

Si desea acceder a la nota en formato PDF, click aquí.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa