lopd y backup online EEUU

Hola, tengo una duda que espero que alguien me pueda aclarar.

Tengo contratado un servicio de BackUp online con una empresa de estados unidos que se llama CARBONITE. Por medio de dicho servicio se realiza una copia cifrada automatica (mientras trabajo) de todos mis documentos, archivos y bases de datos que se almacena en los servidores de dicha empresa.

La pregunta es ¿esto puede ser considerado como una TRANSFERENCIA INTERNACIONAL DE DATOS?......yo entiendo que no porque se trata de una copia cifrada y por lo tanto no son datos personales, son "unos y ceros" inteligibles para el proveedor....¿que opináis?

que estén cifrados es una medida de seguridad. pero eso no implica que no puedan descifrarse.

Cifrados o no los datos están ahí.

Yo creo que sí... sino pregunta directamente a la LOPD

Buenas,

Me temo que sí está considerada una transferencia de datos. Yo me encuentro en una situación similar, con la diferencia de que mi server y backups están en USA. ME he puesto en contacto con la AGPD y me confirmaron que efectivamente se trata de una transferencia de datos internacional.

Si la empresa que se encarga de hacerte los backups está incluida en la lista de empresas de "puerto seguro" entonces sólo debes modificar tu fichero para incluir los datos del importador del fichero, si no está incluida entonces ahí empieza lo que para muchos puede ser una odisea.

Si me equivoco que alguien me corrija. Es el director de la AGPD quien debe dar el visto bueno a tu solicitud de incluir los datos de la empresa importadora del fichero y para ello te piden un contrato firmado por ambas partes en el que conste que el importador del fichero cumple con todas las normas que la LOPD exige.

Vamos, desde mi punto de vista algo inviable.

Efectivamente se considera una transferencia internacional de datos, en este enlace puedes comprobar si la empresa está adherida al acuerdo de puerto seguro

https://safeharbor.export.gov/list.aspx

Un saludo

www.techlegal.es
Derecho Tecnológico

Después de hablar esta mañana con una empleada de la AGPD del departamento de transferencias internacionales, me han confirmado que si la empresa importadora del fichero no se encuentra en el listado de empresas de "puerto seguro" puedes prescindir de la solicitud de aprobación por parte del director de la AGPD si especificas claramente a los afectados de dicha transferencia internacional de datos y éstos aceptan las condiciones.



Es decir, a mi entender, con que se especifique en las condiciones de uso que se presentan a los usuarios potenciales y éstos acepten dichas condiciones, es suficiente.

Sinceramente, me estoy volviendo loco con este tema.

Artículo 33. Norma general

1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Artículo 34. Excepciones.

Lo dispuesto en el artículo anterior no será de aplicación:

Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Vale....he tenido suerte.......carbonite esta en la lista del "safe harbour" ese.......les he mandado un email preguntando si firman los contratos de "encargado del tratamiento" y me han pedido que les envie el modelo para verlo............a ver que pasa

Ahora la duda es la siguiente.....¿si el backup afecta a todos los ficheros debo modificar la inscripción de todos indicando la transferencia?