El pasado 9 de mayo de 2014 será recordado por Microsoft como el día que consiguió que la Agencia Española de Protección de Datos (AEPD), en una resolución sin precedentes, declarara adecuadas a la legislación española las garantías que ofrece en sus servicios de cloud computing (Office 365, Microsoft Dynamics CRM Online y Windows Azure) para la transferencia internacional de datos personales; alejándose de otros proveedores en servicios cloud.
La resolución, además de aportar grandes ventajas a las compañías que tengan contratados sus servicios con Microsoft (tanto en tiempo como en quebraderos de cabeza por trámites burocráticos) ha sabido recompensar los esfuerzos que lleva a cabo Microsoft para asegurar el cumplimiento de la normativa de protección de datos, en especial, en materia de confidencialidad y seguridad de los datos.
Si nos adentramos en el contexto regulatorio, hay que recordar que en virtud de lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal, en el caso de que existan transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE), y siempre que sean países no declarados con nivel de protección adecuado (como en el caso de EEUU para las empresas no adheridas a Puerto Seguro) se requiere solicitar la autorización a la AEPD, como paso previo a la transferencia internacional.
Rompiendo con la práctica habitual, por la cual es el exportador el encargado del trámite, ha sido Microsoft quien como importador, se ha adelantado, buscando la aprobación del Director de la AEPD remitiendo los contratos que suscribe con carácter general, con la finalidad que éstos fueran considerados como las “garantías adecuadas” de las que habla el artículo 33.1 de la Ley Orgánica de Protección de Datos (LOPD) para que una determinada transferencia internacional pueda considerarse merecedora de la correspondiente autorización.
En la práctica real, la aprobación de la AEPD va a suponer eliminar la innecesaria carga que tiene el exportar de recabar una autorización individualizada de transferencia internacional de datos por cada uno de los clientes del servicio; lo que sin duda, para Microsoft, va a ser una gran ventaja que le desmarque del resto de sus competidores.
En este sentido, la AEPD ha afirmado que los contratos aportados por Microsoft ofrecen garantías adecuadas, siempre y cuando se presente la posibilidad de firmar, como hasta ahora se viene haciendo, cláusulas contractuales tipo, adoptadas por la CE en su decisión 2010/87/UE, además de presentar los pertinentes acuerdos suplementarios para la contratación de todos los servicios y las correspondientes adendas sobre tratamiento de datos de carácter personal.
No obstante lo recogido, la AEPD recuerda a Microsoft y a las entidades que utilicen sus servicios que aún no están exentas de responsabilidad, puesto que si bien “se libran” de solicitar autorización, siguen estando obligadas a notificar la transferencia internacional.
Es decir, con anterioridad a la transferencia, el responsable del fichero deberá notificar a la AEPD la existencia de esta transferencia internacional, a fin de que se proceda a su inscripción en el RGPD, quedando identificado el fichero a cuyos datos se refiera la transferencia internacional.
Adicionalmente, cabe señalar que no obstante la autorización concedida, ésta podrá denegarse o suspenderse temporalmente en virtud de lo dispuesto en el artículo 70.3 del RLOPD si se diera alguna de las circunstancias.
Áudea Seguridad de la Información
Sara Mogollón, Departamento Derecho TIC