En relación con la reciente publicación por parte de la AEPD de este documento y del interés que muchos usuarios de centros educativos manifiestan, en esta ocasión contamos con un invitado a nuestro blog que desgrana, en un lenguaje más accesible, el contenido de esta publicación.
Manuel Gil es el responsable jurídico de PRODAT en Valencia. Licenciado en derecho y especializado en normativa de protección de datos de carácter personal. www.prodatvalencia.es
Para que Google, compañía estadounidense con sede en California, pueda ofrecer sus productos y servicios legalmente en España debe cumplir, entre otras, con la normativa en materia de protección de datos de carácter personal.
Cuando un usuario establecido en territorio español decide utilizar productos y servicios de Google y se “registra” mediante la creación de una cuenta, le está proporcionando determinada información que permite su identificación personal (nombre, dirección de correo electrónico, información de facturación), incluso otros datos “sensibles” como la raza, el origen étnico, la religión, la ideología política, la orientación sexual o la salud, es decir, información personal y confidencial.
Ya lo advierte Google en la primera línea de su política de privacidad: cuando utilizas los servicios de Google, nos confías tu información.
Pues bien, el hecho de “registrarse” implica que el usuario está “exportando” datos de carácter personal desde España a otro país “importador” que es EEUU, es decir, está llevándose a cabo una una transferencia internacional de datos (TID) que tiene por objeto la realización de un tratamiento de datos por cuenta del usuario establecido en territorio español.
Para realizar una TID (importación o exportación) es necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos (AEPD), salvo que se ampare en alguno de los supuestos de excepción que prevé la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección.
Comoquiera que Estados Unidos, en su condición de país importador, no ha sido declarado y, por lo tanto, no ofrece un nivel adecuado de protección, Google (como importador e interesado en cumplir la normativa) tomó la iniciativa y decidió solicitar a la AEPD la autorización a la TID de sus servicios de computación en nube o cloud computing denominados “Cloud Platform” y “G-Suite”.
En la solicitud, que se resolvió favorablemente (junio 2017), Google aportó la documentación exigida que demostrase garantías suficientes para una TID, esto es, una cláusula contractual tipo (Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010) y un acuerdo suplementario para adecuar a las características de los servicios de cloud computing la realización de las auditorías de las actividades de tratamiento, de manera que cualquier usuario que decida contratar estos servicios y suscriba -dejando constancia de su firma- los citados documentos, queda autorizado a la realización de la TID que lleva implícito su “registro” en estos servicios, con la condición de que lo notifique previamente al Registro General de Protección de Datos (RGPD).
De momento, y salvo denegación o suspensión posterior motivada, la TID que conlleva que el usuario utilice los servicios “Cloud Platform” y “G-Suite” de Google está legitimado por la Agencia Española de Protección de Datos (AEPD).”
Manuel Gil.
