Entradas guardadas para safe harbor

Google España como reponsable del tratamiento

Una reciente resolución de la AGPD ha vuelto a señalar la obligación que pesa sobre Google de eliminar los datos de su registro ante la petición de un titular haciendo valer su derecho de cancelación.
Google.es con razón se opone ante esta pretensión que de repetirse comúnmente con otros usuarios requeriría la manipulación del algoritmo con el que muestra los resultados a sus usuario.
La excepción principal que opone es que la información es recopilada y tratada por Google Inc con sede en California y que la filial en España no lleva a cabo tratamiento alguno de los datos.
Para la Agencia esto resulta inadmisible. No sólo porque Google tiene establecimiento en España y los proveedores de servicios de la sociedad de la información pueden verse sometidos a diversas jurisdicciones. La interpretación de la Agencia va más lejos y se centra en los robots o ‘spiders’ que utiliza cualquier servicio de búsqueda para obtener la información de los sitios webs que luego se encarga de ordenar automáticamente.
Para la Agencia existe un tratamiento de medios situados en territorio español y este tratamiento no se hace con simple finalidad de tránsito. De ahí la inaplicabilidad de la excepción:

“Cuando el proveedor de servicios de búsqueda es un responsable de tratamiento situado fuera del EEE, existen dos casos en los que se aplica la legislación comunitaria en materia de protección de datos. En primer lugar, cuando el proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro, de acuerdo con el artículo 4(1) (a). En segundo lugar, cuando el buscador recurre a medios situados en el territorio de un Estado miembro, de acuerdo con el artículo 4(1) (c). En este último caso, el buscador, de acuerdo con el artículo 4 (2), debe designar un representante en el territorio de dicho Estado miembro concreto.”

La Agencia fundamenta su decisión en la LSSI. Concretamente el artículo 8 c) prevee la protección del derecho a la intimidad de la persona ante un prestador de la sociedad de la información, e incluye la posibilidad de retirar datos que incumplan este precepto. Así, al encuadrar el servicio que presta Google en España dentro de prestador de servicios de la sociedad de información, se refiere al consabido artículo 17 de la LSSI que mantiene la doctrina de ‘safe harbor’.

“1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.”

Esta doctrina de gran calado en el derecho europeo y en el americano mediante el 47 USC 230 del Telecommunication Act de 1996, permite a los agregadores de contenido tener una salvaguarda en procesos automatizados de tratamiento de datos. Aún así dicha cláusula prevé la obligatoria remoción de contenido por parte del prestador de servicios en caso de que un órgano decrete su eliminación. Este fue el resultado de esta decisión por parte de la Agencia. Desde luego un quebradero de cabeza más para Google que habrá de velar por la eliminación de cualquier mención a Doña A.A.A. Pero, ¿es tecnológicamente posible una medida de este tipo?

Encargados del tratamiento y hosting internacional

Otro caso más para entretener a nuestra cada vez más nutrida audiencia. Hoy hablaremos de una sentencia del Tribunal Supremo de este año. Otra vez el marketing directo realizado por la empresa Peugeot está en el centro de la controversia. Como es costumbre en este sector, la realización de dicho marketing le es encargado a una empresa especializada en comunicaciones electrónicas. Así existe un responsable del fichero, Peugeot, y un encargado. Curiosamente el fichero posee el sugerente nombre de ‘Base de Datos de Conquista’.

El contrato entre responsable y encargado establece la propiedad exclusiva del fichero por parte del responsable, Peugeot. El responsable, a su vez, subcontrata la realización de tareas de encargado a una tercera empresa las actividades de hospedaje.

El problema surge en tanto los datos recabados en el formulario del sitio web son alojados en servidores en los EEUU sin obtener la autorización del Director de la AEPD para la transferencia internacional de ficheros y sin informar a los usuarios ni obtener su consentimiento. Al proveedor del hosting al no encontrarse acogido bajo los “principios de puerto seguro” (safe harbor) no se le aplica la excepción del art 34 k) “nivel de protección adecuado”. Por lo tanto, el encargado incumple con la normativa al tener el hospedaje de dicho contenido en un servidor fuera de España.

Es un claro aviso a navegantes para aquellos que se confían en tener un servicio de hosting fuera de España y cumplir con las normas de protección de datos. Hay que fijarse que el proveedor del servicio esté adscrito al programa ‘Safe Harbor’. Se trata de un trámite sencillo en el que la empresa encargada ha de llevar a cabo una declaración ante el Departament de Comercio y la adherencia a sus principios.

Y, de regalo, una cláusula que podemos ya ir incluyendo en cualquier contrato entre responsable y encargado por si no la habíamos hecho ya:

“El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a otras personas.”

Encargados del tratamiento

RSS Feed.