La AEPD solicita información sobre transferencia internacional de datos

TRANSFERENCIAS INTERNACIONALES DE DATOS A ESTADOS UNIDOS

El pasado 6 de octubre, el Tribunal de Justicia de la Unión Europea dictaba una resolución que ha revolucionado el campo de las transferencias internacionales de datos a EEUU.

Hasta ese día, si tu empresa trabaja con software que está alojado allí, si tiene una empresa del Grupo que presta servicios desde allí, o si los jefes de la matriz del Grupo tienen que conocer información de la empresa y ellos están en EEUU, la transferencia internacional de datos se consideraba adecuada, si la empresa receptora de los datos estaba adscrita a los Convenios de Puerto Seguro. Se notificaba a la Agencia Española de Protección de Datos, informando de ese requisito, y la transferencia ya era inscrita en el Registro General de Protección de Datos.

Desde el día 6, la Decisión de la Comisión Europea que desde el año 2000 estaba autorizando estos tratamientos de datos, ha sido revocada de manera que si tu empresa trabaja con software que está alojado allí, si tiene una empresa del Grupo que presta servicios desde allí, o si los jefes de la matriz del Grupo tienen que conocer información de la empresa y ellos están en EEUU, la transferencia ya no se hace a un país adecuado, por lo que ahora hay que iniciar todo el proceso de autorización de transferencia al Director (ahora, Directora) de la AEPD, que por cierto no es sencillo.

 

Las Autoridades nacionales de protección de datos se han puesto a trabajar en seguida en el tema (ver el comunicado conjunto) y en España, la AEPD ya está contactando por carta postal con los responsables de fichero que tienen declaradas transferencias a EEUU para que, antes del 29 de enero de 2016, le hayan comunicado formalmente cómo van a solventar esta situación. De hecho, en caso de no dar respuesta antes de esa fecha (la carta requiere información a la mayor brevedad, y en todo caso antes del 29/1/16), la AEPD podría iniciar de oficio la suspensión de la transferencia, lo que llevaría a situaciones de incumplimiento normativo (por tanto sancionable) por parte del responsable del fichero.

Como decimos, el proceso no es fácil: hay que preparar cierta cantidad de documentación, que hay que compulsar si no es original, traducir de forma jurada, y en su caso apostillar, antes de presentarla a la AEPD que, en el mejor de los casos, tiene 3 meses para resolver el expediente.

Desde AUDISEC estamos a tu disposición para afrontar esta nueva situación, de forma que si precisas conocer más en detalle el asunto, o si ya has recibido la carta de la AEPD, no dudes en contactarnos