El Acuerdo de Puerto Seguro – Safe Harbor

por Jorge Campanillas Ciaurriz

publicado el 22 octubre 2009

Categorías: Abogados LOPD / Agencia Proteccion Datos / LOPD / Normativa / Privacidad / Protección de Datos / Seguridad / Unión Europea

Gracias a una pregunta realizada por twitter imposible de responder en 140 caracteres, vengo aquí a intentar responder qué significa que empresas como Amazon o Google se hayan adherido al Acuerdo de Puerto Seguro y la relevancia que puede tener todo ello a fin de que tanto las empresas como la Administración utilicen sus servicios. En fin, la eterna discusión sobre si «nubes» o «cloud computing» sí o no. Como todo en la vida, la respuesta es: depende.

El Acuerdo de Puerto Seguro nace de una necesidad clara comercial entre los EEUU y la Unión Europea donde los principios de protección de datos difieren claramente tanto en su visión del sistema como en su protección. Por ello, y ante las restricciones para las transferencias internacionales de datos establecidas por la Directiva 95/46/CE, donde se establece que: los Estados miembros deben prever que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección adecuado y cuando con anterioridad a la transferencia se respeten las disposiciones legales de los Estados miembros adoptadas con arreglo a las demás disposiciones de dicha Directiva; ambas potencias comenzaron, a finales del siglo pasado, a negociar y consensuar un sistema que permitiese las relaciones comerciales. Esta negociación terminó con el Acuerdo de Puerto Seguro, adoptándose por parte de la Unión Europea la DECISIÓN DE LA COMISIÓN de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. Mediante este acuerdo, las empresas de los EEUU que se adhieran al mismo (sólo éstas y no sus filiales en otros países), tal y como lo establece la propia AGPD contarán con la «presunción de adecuación» al nivel de adecuación exigido por la Directiva. Es decir, es un sistema de adhesión y autodeclaración, pero no por ellos obligados a su cumplimiento.

Por ello que las empresas de los EEUU se adhieran a este sistema autodeclarativo, les salva el escollo de la transferencia internacional de datos establecido en la Directiva, si bien, no asegura como bien explica D. Emilio Aced un nivel adecuado de cumplimiento de la normativa.

El Acuerdo de Puerto Seguro es un buen primer paso para controlar que nuestros datos vayan a ser protegidos tal y como se obliga a las propias empresas del Estado, por ello es positivo que se adhieran a estos Acuerdos. Sin embargo, no creo que con ello sirva para responder si esta adhesión es la única cuestión que haya que plantear para decidirse sobre si utilizar la «nube» o no. Personalmente creo que la respuesta a esto dependerá más de la propia disponibilidad del servicio, de si es un servicio imprescindible en nuestro día a día, e incluso de si son datos que puedan estar incluídos en las políticas de confidencialidad de las empresas o de secretos industriales… El eterno debate que nunca se termina 😉