201710.26
0

Protección de Datos permite a Google Cloud la transferencia a EEUU

La Agencia Española de Protección de Datos (AEPD) ha dado el visto bueno a las garantías contractuales ofrecidas por Google para las transferencias internacionales de datos a los Estados Unidos, a través de sus servicios G Suite y Google Cloud Platform, siempre que se cumplan las condiciones establecidas en la resolución.

Tal y como subraya el documento de la AEPD, EEUU es un país que no está declarado con un nivel de protección adecuado de los datos. Sin embargo, tras analizar y evaluar el apéndice dedicado a las transferencias en los contratos de Google y el apéndice que contiene las medidas de seguridad, asevera que ambos “responden a su finalidad y pueden ser considerados adecuados”.

Asimismo, determina que el cumplimiento de la exigencia de una autorización individualizada en las transferencias internacionales de datos por cada uno de los clientes -y de acuerdo con el artículo 33.1 de la Ley Orgánica de Protección de Datos- “ocasionaría una carga innecesaria al exportador solicitante, toda vez que la conclusión material del expediente resultaría prejuzgada por el contenido de esta resolución”.

Condiciones

Acorde con dicho precepto, la AEPD autoriza las transferencias internacionales de datos que se lleven a cabo gracias a las cláusulas analizadas, siempre que se cumpla un paquete de condiciones. La primera de ellas exige que las transferencias internacionales se ciñan a los requisitos de la resolución y las cláusulas contractuales que, además, deberán incorporar el contenido del texto aprobado por la AEPD. Además, el exportador de datos deberá poder acreditar en todo momento las garantías de la transferencia -por lo que debe quedar constancia documental de los contratos firmados con el prestador de servicio con el importador de datos-.

El tercer término, con anterioridad a cualquier transferencia internacional, el responsable del fichero deberá notificarlo a la AEPD para su inscripción en el Registro General de Protección de Datos.

Por último, según el organismo el alcance de la transferencia deberá adecuarse a la estructura del fichero, las categorías de datos y las finalidades del tratamiento.

No obstante, la resolución recuerda que el Reglamento de la LOPD permite denegar o suspender una autorización previamente concedida si detectara una situación de riesgo o incumplimiento grave. Por ejemplo, que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo respetadas por el importador o de que los mecanismos de aplicación del contrato no son efectivos; que en el país de destino se produzca una situación de riesgo para los derechos fundamentales; o que la transferencia pueda caer en una situación de riesgo para los afectados.