Artículo elaborado por Pablo Fdez. Burgueño (@Pablofb), abogado de Abanlex.
Abanlex ha colaborado con El Confidencial para la publicación de esta noticia: Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps. El título, que consideramos incorrecto, y la forma sensacionalista de expresar el contenido son del medio, no de Abanlex.
La Agencia Española de Protección de Datos ha enviado un comunicado a las empresas que se sirven de soluciones estadounidenses. Un resumen podría ser: ¿Tu empresa usa Dropbox, Google Drive o MailChimp? Tienes hasta febrero para cumplir o cesar. La Agencia ha declarado a los medios de forma no oficial que no abrirá procedimientos sancionadores por defecto en caso de incumplimiento.
La Agencia ha requerido a todas las empresas españolas para cumplan una de estas tres opciones antes del 29 de enero para poder seguir usando los servicios:
- Opción A: Conseguir la autorización del Director de la Agencia Española de Protección de Datos
- Opción B: Conseguir el consentimiento informado de todas las personas cuyos datos se vena afectados.
- Opción C: Usar alguna de las otras excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999 (ejemplo: transferencias para auxilio judicial o realizar un diagnóstico médico)
La Agencia recuerda en un comunicado (ver comunicado) que el requerimiento (ver requerimiento) no es un ultimátum propiamente dicho, aunque pueda iniciar procedimientos de cese en transferencias internacionales en caso de que se incumpla.
Están afectadas, entre otras, las empresas españolas que usan, para guardar o tratar información con datos personales, algunos de estos servicios:
- Dropbox: Alojan fichas de clientes en Dropbox
- Redes sociales (Facebook, Flickr, Instagram, Twitter…)
- Páginas y perfiles en redes sociales: Suben fotografías en las que aparecen personas identificables.
- Google:
- Google Drive: Usan formularios u hojas de cálculo en Google para recabar datos de usuarios o almacenar información personal.
- Gogle Apps: Utilizan el servicio de correo de Google
- MailChimp: Gestionan el envío de e-mails comerciales a través de este servicio.
- Bitcoin: empresas que alojan anotaciones usando la funcionalidad BIP70 u otras similares
- Hosting o cualquier otro servicio en EEUU
A los servicios listados habrá que sumar todos aquellos que se presten después de haber realizado una transferencia internacional de datos a EEUU o a otros países considerados no seguros, cuya lista gestiona la AEPD.
Ejemplo:
Si una empresa española ha subido a su perfil en Twitter fotografías en las que aparezcan personas identificables, puede decidir solicitar la autorización del Director de la Agencia Española de Protección de Datos. Para ello, tendrá que presentar antes del 29 de enero los documentos siguientes (más info):
– Escrito de solicitud.
– Contrato «Empresa-Twitter» firmado por las partes y una traducción jurada al español.
– Poderes suficientes de los firmantes y una traducción jurada al español.
– La inscripción de los ficheros deberá encontrarse actualizada.En caso de que llegue el 29 de enero y la empresa española no haya cumplido, la Agencia podrá iniciar un procedimiento para suspender temporalmente las transferencias. Esto incluye:
– Obligación de parar de alojar dichas fotografías en Twitter. Es posible que la Agencia inicie un procedimiento para impulsar este cese.
– Posible inicio de un procedimiento de inspección.
– Posible sanción con multa de 300.001€ a 600.000€ por comisión de una infracción muy grave de protección de datos.
Es raro que la Agencia abra un procedimiento de oficio. Lo más habitual es que tenga su origen en un procedimiento abierto a instancia de parte; es decir, si hay denuncia.
Es importante recordar que una empresa, si bien es tan solo responsable del tratamiento respecto de los datos alojados por los usuarios en redes sociales así como respecto de la lista de seguidores, seguidos, RTs y FAVs, es responsable del tratamiento respecto de los datos de terceros que ella misma decide subir a la red social. Esta circunstancia se da cuando una empresa decide subir las fotos de sus empleados a su página en Facebook o su perfil en Twitter. Ante estos casos, será necesario optar por una de las opciones antedichas para cumplir adecuadamente la ley.
Más información:
En relación con los Widgets: Tener un widget de Twitter en una página no implica que a través de él la empresa titular de la web esté realizando transferencias internacionales de datos. Sin embargo, debe prestarse especial atención al cumplimiento de la denominada Ley de Cookies en lo relativo, especialmente, al bloqueo de la extracción de datos que se produce a través del mismo y, sobre todo, cuando el widget se muestra en intranets y secciones privadas de sitios web.
Nuestro compañero Pablo Uslé (@UslePR), abogado de Abanlex, ha redactado este otro artículo con información ampliada: La AEPD está enviando este requerimiento a todas las empresas con encargados del tratamiento en EEUU. Joaquín Muñoz (@JoaquinMunoz), socio de Abanlex, ha colaborado con El País para publicar este artículo: Las empresas españolas tendrán que legalizar el envío de datos a EE UU.
Si su empresa necesita adecuarse al cambio, contacte con nosotros.
8 thoughts on “Opciones para subir fotos a Facebook a partir de febrero ’16 si eres empresa española”
Comments are closed.
Supuestamente según Microsoft (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) ellos cumplen con las EU Model Clauses y las directivas correspondientes a seguridad y demás. ¿Es por esto por lo que no están en la lista de ejemplos de servicios que habéis comentado? ¿Podrían en el futuro otras compañías simplemente adecuarse a estos estándares más estrictos?
¿Podríais indicar la fuente original en la que «La Agencia Española de Protección de Datos ha dado un ultimátum a las empresas que se sirven de soluciones estadounidenses»?
Muchas gracias.
Supongo que te refieres al requerimiento. Está enlazado en el artículo.
Si, pero el enlace se refiere a una noticia que transcribe una carta de la AEPD: Me gustaría saber si dicha carta es parte de una nota de prensa de la Agencia o es alguna carta remitida individualmente a alguna compañía.
Muchas gracias de nuevo y enhorabuena por el articulo.
Hola, Ricardo: El enlace a penas se ve. Cambiaremos el color para que sea más llamativo. El requerimiento es este: https://www.abanlex.com/wp-content/uploads/2015/11/Requerimiento_anonimizado.pdf.
Genial, muchísimas gracias. Efectivamente no lo había visto.
Perdón, pero hay algo que no entiendo bien: En concreto este párrafo:
» una empresa, si bien es tan solo responsable del tratamiento respecto de los datos alojados por los usuarios en redes sociales así como respecto de la lista de seguidores, seguidos, RTs y FAVs, es responsable del tratamiento respecto de los datos de terceros que ella misma decide subir a la red social. »
Yo, empresario o profesional, soy responsable del tratamiento de los usuarios en redes sociales? ¿Desde qué momento, si ni son datos que yo aloje, ni que haya pedido, sobre los que no puedo siquiera hacer valer los derechos ARCO del usuario (si me pregunta que datos tengo, ni siquiera puedo contestarlo)? No sé si es un fallo de redacción del párrafo, pero no termino de tener clara la responsabilidad mía o de mis clientes en sede de protección de datos. Toda vez que, en todo caso, el exportador de datos sería FB que es quien recaba esos datos en primer lugar. Suyos, y no míos, son los datos recabados.
En todo caso seré responsable de los mismos si decido incorporar esos datos a una base de datos propia, imagino, pero no mientras lo mantenga como simple usuario de FB o twitter.
Otra cosa será, como bien dice el artículo, respecto de las fotografías que yo suba a FB. Y a esto añadiría yo si creo, por ejemplo, una encuesta, en cuyo caso se genera un fichero que es utilizable por mí.