Actualización de las condiciones de uso de Google Apps


Josep Aragonés Salvat     20/01/2016

Apuntes sobre la solución aportada por Google para hacer frente a la decisión del Tribunal de Justicia de UE

Las empresas estadounidenses que ofrecen servicios de internet en la nube, como Google Apps, están negociando con la UE para que declare legales las transferencias de datos personales a EEUU que, hoy por hoy, no lo son fruto de la sentencia del TJUE del 6 de octubre de 2015.
Ante todo se deben tener en cuenta dos cosas:
1) Porqué el TJUE declara ilegales las transferencias?
Porque, con la cobertura de la ley USA PATRIOT Act y sin necesidad de orden judicial, las agencias de seguridad de EEUU pueden acceder a los datos personales de los ciudadanos, sean estadounidenses o extranjeros, infringiendo la normativa europea de protección de datos.
Si no fuera por esta ley no habría ningún problema para transferir datos personales, ya que las empresas estadounidenses se amparaban en la Decisión 2000/520/CE que declaraba EEUU como puerto seguro (acuerdo Safe Harbor) y que era suficiente para garantizar la protección de datos de los ciudadanos europeos.
2) ¿Qué tipos de transferencias son declaradas ilegales
- Son ilegales las transferencias de datos personales (clientes, trabajadores, contactos, imágenes, etc.) realizadas por empresas europeas.
- No son ilegales las transferencias que no contienen datos personales.
- Tampoco son ilegales las transferencias que se hacen a nivel particular (fuera de la responsabilidad de la empresa), contengan o no datos personales.

Actualización de las condiciones de uso de Google Apps

Una vez hechas estas aclaraciones y consultados los términos legales actualizados por Google vemos que no se aporta ninguna solución más que la de informar que Google es un Encargado del tratamiento y que el Responsable del mismo es el cliente que contrata el servicio, eso si , avisándole de que el cliente está obligado a cumplir con la normativa vigente en protección de datos de su país.
Esto no significa que cumplan la normativa europea, ya que como hemos dicho antes, el problema no es la transferencia de datos si no el acceso a las mismas.
Parece ser que las grandes compañías internacionales no dejarán perder todos los clientes europeos así como así y presionarán a la administración de EEUU para que se ponga de acuerdo con la UE. Pero de momento, como esto no sucede, las empresas europeas tienen puesta la alerta y están buscando alternativas por si el acuerdo no llega a tiempo ya que no pueden arriesgarse a las grandes sanciones que se pueden producir por este motivo.

El comunicado de Google Apps

Google, una vez publicada la decisión del Tribunal UE, envió a sus clientes un comunicado informando de la actualización de las cláusulas de uso de sus servicios de Google Apps, dando a entender que con ello estaba resuelto el tema que nos ocupa, y la verdad es que nada de nada, ya que por mucho que modifiquen las cláusulas no se cambiará la ley USA PATRIOT Act.
En este comunicado hacen referencia al tratamiento que Google hace de los datos personales para adaptarse a la normativa europea y, resumiendo, dice que la actualización sólo es importante si el cliente trata datos personales y está sujeto a las leyes de protección de datos europeas aplicables a dicho tratamiento. Hecha la advertencia, ofrecen un contrato modelo creado específicamente por la Comisión UE que cumple los requisitos de adecuación y de seguridad de la Directiva de protección de datos de la EU.
Y con este comunicado nos dirigen a 2 links para consultar las cláusulas que proponen:
1) Tratamiento de datos Modificación de Acuerdo de Google Apps: https://www.google.com/work/apps/terms/dpa_terms.html
En el apartado 2 se definen las "Cláusulas Modelo de Contrato - MCC" como las correspondientes al artículo 26 (2) de la Directiva 95/46 / CE para la transferencia de datos personales a terceros países que no garanticen un nivel adecuado de protección.
2) Cláusulas Contractuales Tipo a efectos del artículo 26 (2) de la Directiva 95/46 / CE: https://www.google.com/work/apps/terms/mcc_terms.html
En la cláusula 4 referente a las obligaciones del cliente (Responsable del tratamiento) dice textualmente que el tratamiento, incluida la transferencia en sí, de los datos personales ha sido y seguirá siendo llevado a cabo de conformidad con las disposiciones pertinentes de la ley de protección de datos (y, en su caso, se deberá notificado a las autoridades competentes del Estado miembro en que esté establecido el exportador de datos) y no viola las disposiciones pertinentes de ese Estado.
En la cláusula 7 referente a la mediación y jurisdicción en caso de controversia dice que se someterán a los tribunales del Estado donde esté establecido el cliente. Esto ya es mucho, pero insuficiente si la normativa aplicable al mismo Estado ha declarado ilegal la transferencia.
Aunque en el apéndice 2 de las Cláusulas Contractuales Tipo informa de las medidas técnicas y organizativas de seguridad implementadas por Google y que éstas parecen ser del todo excelentes, Google y cualquier empresa ubicada en EEUU no pueden incumplir la ley de su país y en el caso de que cualquier agencia de seguridad quiera acceder a los datos personales siempre lo podrá hacer.

Resumiendo

Debemos estar alerta pero no preocuparnos. Seguro que llegarán a un acuerdo y si no es antes del 29 de enero pospondrán el plazo para conseguirlo. No me puedo imaginar que tantas y tantas empresas europeas, incluidas la administración pública, tengan que cambiar su estructura organizativa por falta de entendimiento entre EU y EEUU. Pero nunca se sabe, quizás ahora sea el momento de aprovechar este impasse para buscar otras alternativas y compararlas con las que usamos actualmente por si algún día nos conviene hacer el cambio. No hay mal que por bien no venga.