Actualització de les condicions d'ús de Google Apps


Josep Aragonés Salvat     20/01/2016

Apunts sobre la solució aportada per Google per fer front a la decisió del Tribunal de Justícia de UE


Les empreses nord-americanes que ofereixen serveis d'internet al núvol, com Google Apps, estan negociant amb la UE perquè declari legals les transferències de dades personals als EUA que, ara per ara, no ho són fruit de la sentència del TJUE del 6 de octubre de 2015.

Abans de res s'han de tenir en compte dues coses:

1) Perquè el TJUE declara il·legals les transferències?

Perquè, amb la cobertura de la llei USA PATRIOT Act i sense necessitat de cap ordre judicial, les agències de seguretat dels EUA poden accedir a les dades personals dels ciutadans, siguin nord-americans o estrangers, infringint la normativa europea de protecció de dades.

Si no fos per aquesta llei no hi hauria cap problema per transferir dades personals, ja que les empreses nord-americanes s'emparaven en la Decisió 2000/520 / CE que declarava EUA com a port segur (acord Safe Harbor) i que era suficient per a garantir la protecció de dades dels ciutadans europeus.

2) Quins tipus de transferències són declarades il·legals

- Són il·legals les transferències de dades personals (clients, treballadors, contactes, imatges, etc.) realitzades per empreses europees.

- No són il·legals les transferències que no contenen dades personals.

- Tampoc són il·legals les transferències que es fan a nivell particular (fora de la responsabilitat de l'empresa), continguin o no dades personals.
 

Actualització de les condicions d'ús de Google Apps


Un cop fets aquests aclariments i consultats els termes legals actualitzats per Google veiem que no s'aporta cap solució més que la d'informar que Google és un Encarregat del tractament i que el Responsable del mateix és el client que contracta el servei, això si, avisant-lo que el client està obligat a complir amb la normativa vigent en protecció de dades del seu país.

Això no vol dir que compleixin la normativa europea, ja que com hem dit abans, el problema no és la transferència de dades si no l'accés a les mateixes.

Sembla ser que les grans companyies internacionals no deixaran perdre tots els clients europeus així com així i pressionaran a l'administració dels EUA perquè es posi d'acord amb la UE. Però de moment, com això no succeeix, les empreses europees tenen posada l'alerta i estan buscant alternatives per si l'acord no arriba a temps ja que no poden arriscar-se a les grans sancions que es poden produir per aquest motiu.
 

El comunicat de Google Apps


Google, un cop publicada la decisió del Tribunal UE, va enviar als seus clients un comunicat informant de l'actualització de les clàusules d'ús dels seus serveis de Google Apps, donant a entendre que amb això estava resolt el tema que ens ocupa, i la veritat és que res de res, ja que per molt que modifiquin les clàusules no es canviarà la llei USA PATRIOT Act.

En aquest comunicat fan referència al tractament que Google fa de les dades personals per adaptar-se a la normativa europea i, resumint, diu que l'actualització només és important si el client tracta dades personals i està subjecte a les lleis de protecció de dades europees aplicables a aquest tractament. Feta l'advertència, ofereixen un contracte model creat específicament per la Comissió UE que compleix els requisits d'adequació i de seguretat de la Directiva de protecció de dades de l'EU.

I amb aquest comunicat ens dirigeixen a 2 links per consultar les clàusules que proposen:

1) Tractament de dades Modificació de Acord de Google Apps: https://www.google.com/work/apps/terms/dpa_terms.html

En l'apartat 2 es defineixen les "Clàusules Model de Contracte - MCC" com les corresponents a l'article 26 (2) de la Directiva 95/46/CE per a la transferència de dades personals a tercers països que no garanteixin un nivell adequat de protecció.

2) Clàusules Contractuals Tipus a l'efecte de l'article 26 (2) de la Directiva 95/46/CE: https://www.google.com/work/apps/terms/mcc_terms.html

En la clàusula 4 referent a les obligacions del client (Responsable del tractament) diu textualment que el tractament, inclosa la transferència en si, de les dades personals ha estat i seguirà sent dut a terme de conformitat amb les disposicions pertinents de la llei de protecció de dades (i, si escau, s'haurà notificat a les autoritats competents de l'Estat membre en què estigui establert el client) i no viola les disposicions pertinents d'aquest Estat.

En la clàusula 7 referent a la mediació i jurisdicció en cas de controvèrsia diu que se sotmetran als tribunals de l'Estat on estigui establert el client. Això ja és molt, però insuficient si la normativa aplicable al mateix Estat ha declarat il·legal la transferència.

Encara que en l'apèndix 2 de les Clàusules Contractuals Tipus informa de les mesures tècniques i organitzatives de seguretat implementades per Google i que aquestes semblen ser del tot excel·lents, Google i qualsevol empresa ubicada a EUA no poden incomplir la llei del seu país i en el cas que qualsevol agència de seguretat vulgui accedir a les dades personals sempre ho podrà fer.
 

Resumint


Hem d'estar alerta però no preocupar-nos. Segur que arribaran a un acord i si no és abans del 29 de gener posposaran el termini per aconseguir-ho. No em puc imaginar que tantes i tantes empreses europees, incloses l'administració pública, hagin de canviar la seva estructura organitzativa per falta d'entesa entre EU i EUA. Però mai se sap, potser ara sigui el moment d'aprofitar aquest impàs per buscar altres alternatives i comparar-les amb les que fem servir actualment per si algun dia ens convé fer el canvi. No hi ha mal que per bé no vingui.