{"id":1980,"date":"2015-12-10T10:30:26","date_gmt":"2015-12-10T09:30:26","guid":{"rendered":"http:\/\/www.audens.es\/blog\/?p=1980"},"modified":"2016-03-29T09:34:13","modified_gmt":"2016-03-29T08:34:13","slug":"el-supuesto-ultimatum-de-la-aepd","status":"publish","type":"post","link":"https:\/\/www.audens.es\/blog\/el-supuesto-ultimatum-de-la-aepd\/","title":{"rendered":"El (supuesto) ultim\u00e1tum de la AEPD"},"content":{"rendered":"

Dice la 22\u00aa edici\u00f3n del Libro de Estilo de El Pa\u00eds que \u00ablos titulares han de ser inequ\u00edvocos, concretos, accesibles para todo tipo de lectores y ajenos a cualquier clase de sensacionalismo\u00bb<\/em>. Si bien es cierto que esta exhortaci\u00f3n, tan l\u00f3gica y cabal, se ve cuestionada d\u00eda tras d\u00eda por las imposiciones del marketing, la b\u00fasqueda del equilibrio entre lo atractivo y lo veraz<\/strong> debe de ser, en mi opini\u00f3n, la meta de todo periodista al encabezar una noticia. Cuando ese equilibrio se rompe, puede suceder que te hagan un \u00abzasca\u00bb en toda regla, y eso es lo que le ha pasado a El Confidencial en el d\u00eda de ayer.<\/p>\n

Partamos de una realidad: a ra\u00edz de la declaraci\u00f3n de invalidez del marco Safe Harbor por el Tribunal de Justicia de la Uni\u00f3n Europea<\/a>, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos remiti\u00f3 una serie de requerimientos a aquellas entidades que, al declarar sus ficheros, manifestaron que transfer\u00edan datos personales a empresas estadounidenses adheridas a los principios de Puerto Seguro. B\u00e1sicamente, se les instaba a comunicar a la AEPD, antes del 29 de enero de 2016<\/strong>, si iban a continuar realizando las transferencias y, de ser as\u00ed, c\u00f3mo pretend\u00edan adecuarse a la normativa de protecci\u00f3n de datos.<\/p>\n

Partiendo de esta realidad, El Confidencial decidi\u00f3 titular: \u00abUltim\u00e1tum de la AEPD a empresas espa\u00f1olas: prohibido usar Dropbox o Google Apps<\/a>\u00ab… y, ante el revuelo formado (ni se imaginan la cantidad de llamadas recibidas ayer en el despacho), la propia Agencia se vio obligada a publicar un desmentido<\/strong> en su p\u00e1gina web, que les invito a leer<\/a>: ni existe tal ultim\u00e1tum, ni oficialmente se prejuzga la adecuaci\u00f3n a la legalidad de las herramientas en cuesti\u00f3n.<\/p>\n

No es pr\u00e1ctica de nuestro bufete criticar publicaciones ajenas pero, dadas las circunstancias, me van a permitir que les aclare un par de puntos sobre el resto del art\u00edculo, habida cuenta que el titular se cae por su propio peso. El cuerpo de la noticia comienza de forma impecable: si transfer\u00edamos datos a Estados Unidos amparados en que el destinatario estaba acogido al marco Safe Harbor, tenemos que buscar una nueva base legal para hacerlo<\/strong> de entre las que nos ofrece la Ley: autorizaci\u00f3n de la directora de la AEPD o encaje en alguna de las excepciones previstas (entre ellas, el consentimiento); y debemos informar a la Agencia de nuestra decisi\u00f3n, en el plazo indicado.<\/p>\n

A partir de ah\u00ed, y a la hora de poner ejemplos, vuelven los deslices. El principal tiene que ver con Twitter, y aunque la explicaci\u00f3n es un poco t\u00e9cnica, voy a tratar de exponerla de forma comprensible. La Agencia distingue entre dos tipos de \u00abresponsables\u00bb a efectos de la LOPD<\/strong>: por un lado, habla del \u00abresponsable del fichero\u00bb, que b\u00e1sicamente es quien ostenta el control sobre el fichero en su conjunto; y por otro, de \u00abresponsable del tratamiento\u00bb, que decide sobre\u00a0concretas acciones que se realizan con los datos registrados en \u00e9l. Habitualmente, ambas categor\u00edas confluyen en la misma persona, pero no siempre es as\u00ed: piensen en la inclusi\u00f3n de un ciudadano en un registro de morosos. El responsable del fichero es la empresa que gestiona el listado como tal, mientras que el responsable del tratamiento es la entidad que toma la decisi\u00f3n de incribir al supuesto causante del impago, y la que responder\u00e1 en caso de error. Gracias a esta construcci\u00f3n, empresas como Equifax o Experian apenas son sancionadas, mientras sus clientes (especialmente, empresas de telefon\u00eda) copan el podio de los infractores de la LOPD a\u00f1o tras a\u00f1o.<\/p>\n

Pues bien, esta estructura es igualmente aplicable a plataformas sociales como Twitter: si una empresa espa\u00f1ola abre una cuenta en dicha red, el responsable del fichero ser\u00e1 Twitter Inc., con sede en San Francisco, mientras la empresa ser\u00e1 \u00fanicamente responsable de los tratamientos que realice con los datos de sus seguidores, por poner un ejemplo. Cada una responder\u00e1 de aquellas \u00e1reas a las que alcance su capacidad de decisi\u00f3n<\/strong>, por lo que dif\u00edcilmente se podr\u00e1 obligar a la empresa de nuestro ejemplo a inscribir un fichero de la red social, adoptar ciertas medidas de seguridad o solicitar autorizaciones de transferencias internacionales, porque el responsable de asumirlas ser\u00eda, en \u00faltimo caso, Twitter.<\/p>\n

Aclarado este punto, y siguiendo con el ejemplo, \u00bfrealiza Twitter transferencias internacionales de datos desde Espa\u00f1a a Estados Unidos? Aunque la respuesta a esta pregunta requerir\u00eda conocer mejor la infraestructura de servidores de esta plataforma, me inclino por el \u00abno\u00bb, por un motivo sencillo: quienes env\u00edan los datos al extrajero son los propios tuiteros, al editar sus perfiles, publicar sus actualizaciones, interactuar… Dicho de otra forma, son los usuarios quienes, voluntariamente, depositan sus datos en los servidores de Twitter<\/strong>.<\/p>\n

Por todo lo anterior, afirmar (como parece hacer el art\u00edculo) que el simple uso de un widget de Twitter implica la necesidad de justificar exportaciones de datos ante la AEPD es, cuando menos, aventurado, incluso falto de prudencia<\/a>, en el sentido que la RAE le atribuye en la primera de sus acepciones.<\/p>\n

Y, si les interesa el tema, pueden profundizar en informes como este<\/a>, o las p\u00e1ginas 340 y siguientes de la obra \u00abProtecci\u00f3n de datos: comentarios al reglamento<\/a>\u00ab, editada por Lex Nova. \u00a1No tienen p\u00e9rdida!<\/p>\n","protected":false},"excerpt":{"rendered":"Utilizar un widget de Twitter no implica transferir datos a Estados Unidos, y otras clarificaciones sobre el supuesto ultim\u00e1tum de la AEPD ante la invalidez del Safe Harbor. [+]<\/A>","protected":false},"author":5,"featured_media":1983,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[50,99,180,74],"class_list":["post-1980","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-proteccion_de_datos","tag-aepd","tag-estados-unidos","tag-puerto-seguro","tag-redes-sociales"],"_links":{"self":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/posts\/1980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/comments?post=1980"}],"version-history":[{"count":0,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/posts\/1980\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/media\/1983"}],"wp:attachment":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/media?parent=1980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/categories?post=1980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/tags?post=1980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}