martes, 15 de noviembre de 2011

Reflexiones sobre transferencias internacionales de datos.

No voy a entrar en lo que son y cómo se regulan, puesto que eso queda claramente definido en los artículos 33 y 34 de la LOPD y en los Títulos VI y IX (capítulo V) del RD 1720/2007. Vaya manera de comenzar un post, mi intención es aportar mi punto de vista sobre una noticia / opinión que he leído en un blog esta mañana sobre Tranferencias Internacionales.

Como resumen, para poder tener un pié de entrada más claro, una transferencia internacional de datos es, como su propio nombre indica, un movimiento de datos personales a un país fuera del perímetro de la unión europea (a grandes rasgos). Esos movimientos podrán llevarse a cabo con una mera comunicación ante Registro si el país destino de los datos tiene un nivel de seguridad similar al que se exige en el espacio europeo. Pero si el país no está incluido en ese listado de países que proporcionan un nivel de seguridad adecuado, se requerirá autorización del Director de la Agencia Española de Protección de Datos (Monsieur, como diría una Lopedista de Pro).

Pues bien, en estas me encuentro un artículo de opinión publicado en un blog sobre la materia en la que se indican las trasferencias que ha llevado a cabo una empresa de telecomunicaciones desde el año 2009, arrojando unas cifras más que curiosas (36 empresas en 6 países). Lo malo del artículo en mi opinión, es centrar la queja o denuncia en que esa empresa haga un movimiento de datos de un país a otro, y de una a otra empresa

Yo, desde el punto de vista empresarial, no lo veo tan mal, dado que para cada movimiento, han tenido que solicitar la pertinente autorización a la AGPD, lo que si me llama la atención es la falta de control y seguimiento que hace la Agencia en un caso como este.

Por mi experiencia, creo que he conseguido obtener unas 18 autorizaciones para Transferencias Internacionales de datos (TI), esta figura es uno de tantos requisitos formales que no tienen impactos una vez conseguida la autorización. Cumplimentando la solicitud y los modelos, junto con las medidas de seguridad que dices vas a tener, la Agencia te da la autorización sin más, sin chequear nada de lo que aportas en el papel (si señores, el papel lo aguanta todo). En este caso, el de la empresa de telecomunicaciones, si yo fuera la Agencia le hubiera requerido que me informara del estado de las Transferencias, sobre si está en vigor o no, y si no lo está, qué han hecho con los datos de una forma fehaciente.

A día de hoy, y que yo sepa, no se hace nada de eso. Da lo mismo que pida 500 o 1000 solicitudes para mover los datos, que mientras en la solicitud y los papeles quede bonito, no van a pedir más. Esto no quita para que, si se diera una brecha de seguridad en alguno de esos países y circulan por Internet datos de tus clientes, la Agencia te abriera el preceptivo procedimiento sancionador por vía de inspección, en este caso dará lo mismo que hayas cumplido el contrato, las medidas de seguridad y tengas todas esas certificaciones de seguridad que tan de moda están, a la Agencia le dará lo mismo. Pero hasta que no surja un problema no va a mirar lo que estás haciendo.

Dentro de este mundo global, en el que se mueven datos para conseguir trabajos más baratos, creo que la Agencia debería de ser un poco más puntillosa a la hora de otorgar las autorizaciones y llevar a cabo un seguimiento de las mismas, para saber las que están en vigor, las que no, y qué se está haciendo allí donde se trate el dato, ya sea Sudamérica o la India.

De igual forma, creo que las empresas que tienen este tipo de movimientos, deberán de incluir en sus planes de control y seguimiento, como riesgo alto, el cumplimiento de esas medidas de seguridad indicadas en la TI.