Novedades en la adaptación a la LOPD para Pymes y Autónomos en enero 2016

Empezamos el año con novedades importantes en cuanto a protección de datos personales. Atención al contenido de este post.

El pasado 29 de octubre la Agencia Española de Protección de Datos (AEPD) publicó la resolución del 6 de octubre del Tribunal de Justicia Europeo anulando la regulación de Safe Harbour, sentencia por la que se establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, tras la demanda de un activista austríaco llamado Max Schrems a Facebook por el uso de sus datos personales.

Al ser una sentencia Europea, los países miembros deben de cumplirla y hacer la modificaciones legales oportunas. La AEPD en España ha emitido un comunicado a aquellas empresas de las que tiene constancia del uso de Puerto Seguro para que procedan a su regularización indicando como fecha límite el próximo 29 de enero de 2016.

Esto significa que todas aquellas empresas o empresarios que contraten servicios con empresas que almacenan datos de ciudadanos europeos en servidores de Estados Unidos, por ejemplo, Mailchimp, Google, Facebook, Twitter, Apps, Dropbox….deben de exigirles a las mismas el cumplimiento de la sentencia del TJUE en materia de protección de datos.

Para poder solucionar dicho problema hay que cumplir unos requisitos:

  1. Comprobar si los centros de datos donde almacenan los datos están ubicados en Europa.
  2. Acogerse a una de las excepciones legalmente establecidas:

    “El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos:

    – Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
    – Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
    –  Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
    – Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
    – Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
    – Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
    – Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
    – Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
    – Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
    – Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. “

  3. Formalizar un contrato con la empresa suministradora de servicios incluyendo las cláusulas que la AEPD establece legalmente.

Aunque, en un principio, la AEPD no parece tener intención de sancionar, sería interesante actualizar la normativa de tu empresa en materia de Protección de Datos, más vale prevenir que curar.

Beatriz Gaspar García
Emede y Asociados Asesores Tributarios, SLP