Dadas las noticias aparecidas durante estos meses finales del 2015 sobre la aplicación de la sentencia de Puerto Seguro (Safe Harbor), reproducimos a continuación una carta del responsable de Universidades de Microsoft en la que se garantiza la privacidad de los datos almacenados en los servicios corporativos de dicha empresa así como la resolución de la Agencia de Protección de Datos española que la avala.

De: "Antonio Gomez Pavon"
Asunto: Sentencia Safe Harbor. Garantía de privacidad en Servicios Cloud de Microsoft
Muy señores nuestros:

Nos ponemos desde Microsoft en contacto con ustedes en relación con un asunto de crucial importancia, como es la garantía de la privacidad en el marco de los servicios corporativos de cloud computing que las Universidad españolas tienen contratados con el Grupo Microsoft.

En Microsoft somos conscientes de la sentencia que invalida el marco de Puerto Seguro (Safe Harbor) y de la inquietud que dicha sentencia ha suscitado en ciertos ámbitos, incluido el universitario. Con todo, con el propósito de aclarar cualquier duda al respecto y garantizar la confianza que las Universidades han depositado en los servicios corporativos de Microsoft, nos permitimos trasladarles las siguientes cuestiones fundamentales:

1.Ubicación de datos en la Unión Europea. En primer lugar, debemos tener presente que los contratos Campus que las Universidades tienen firmados con Microsoft incluyen el compromiso explícito de que el contenido de los buzones de Exchange Online (cuerpo de los correos electrónicos, los documentos adjuntos y las entradas del calendario, así como el contenido de los sitios de SharePoint Online y los archivos almacenados en dichos sitios, se almacenarán en reposo dentro de la Unión Europea.

2.Utilización de Cláusulas Contractuales Tipo. Adicionalmente, el contrato Campus que las Universidades tienen firmado con Microsoft ya incluye las Cláusulas Contractuales Tipo de la Unión Europea. Conocedores de que el marco de Puerto Seguro podía no satisfacer en ciertos casos las elevadas exigencias y necesidades de confidencialidad y privacidad que esperaban nuestros clientes, Microsoft incluye desde hace tiempo las Cláusulas Contractuales Tipo en todos sus contratos de servicios online con clientes corporativos, incluidas las Universidades y demás instituciones académicas.

3.Autorización de la AEPD. Finalmente, no es solo que ya ofrezcamos y tengamos firmadas las Cláusulas Contractuales Tipo, sino que su implementación por Microsoft ha sido validada por todas las Agencias de protección de datos de la Unión Europea en el marco del Grupo de Trabajo del Artículo 29. Enlace a la comunicación oficial.

En particular, en el caso de España, la Agencia Española de Protección de Datos dictó el día 9 de mayo de 2014, a solicitud de Microsoft, la Resolución oficial TI/32/2014, en la que declaró lo siguiente:

a) Los contratos de Microsoft ofrecen a los clientes garantías adecuadas para exportar datos personales a nuestros servicios cloud.

b) Los clientes que firmen nuestros contratos quedan automáticamente autorizados para la exportación de datos a los servicios cloud, previa notificación a la Agencia. De este modo, los clientes quedan exentos de solicitar autorizaciones individuales.

Esta Resolución se refiere específicamente a los servicios corporativos de Office 365, Dynamics CRM Online y Azure de nuestra compañía, y representa un reconocimiento expreso por parte de la Agencia Española de Protección de Datos a las garantías que Microsoft ofrece para la exportación de datos a la nube. Enlace a la Resolución y enlace a la nota de prensa que explica su significado y alcance.

Además, al beneficiarse automáticamente de la autorización concedida por la Agencia, las Universidades no se ven abocadas a tener que solicitar individualmente la autorización sobre estos servicios. Microsoft ya la ha obtenido para ellas.

Estamos revisando, con todo, que las distintas Universidades hayan firmado la totalidad de documentos contractuales a que se refiere la Agencia Española de Protección de Datos en su Resolución. Nos pondremos en contacto individualmente con cada una de ellas para hacerles llegar la documentación que, en su caso, pudiera faltar a fin de que puedan proceder a firmarla y, de este modo, acceder inmediatamente a los beneficios otorgados por la mencionada Resolución.

Como pueden comprobar, el trabajo y rigor con que Microsoft afronta la garantía de la privacidad como derecho humano fundamental —diseñando el servicio técnicamente de tal modo que los datos queden almacenados en reposo dentro de la Unión Europea y obteniendo garantías jurídicas de las Autoridades de protección de datos, especialmente la AEPD— representa un hito importante en la garantía y seguridad de nuestros clientes.

Agradeciendo de nuevo la confianza que tienen depositadas las Universidades españolas en nuestra compañía, les saluda cordialmente,

Antonio Gómez Pavón
Responsable Universidades
Microsoft

La resolución de la Agencia de Protección de Datos pueden encontrarla en el siguiente enlace:

http://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/auto_transf_2014/common/pdfs/TI-00032-2014_Resolucion-de-fecha-09-05-2014_de-MICROSOFT-CORPORATION_a-Estados-Unidos.pdf

Actualización 21 de abril de 2016:

Microsoft Office 365 y Azure certificados frente al Esquema Nacional de Seguridad (ENS)

http://blogs.technet.com/b/hectormontenegro/archive/2016/04/21/microsoft-office-365-y-azure-certificados-frente-al-esquema-nacional-de-seguridad-ens.aspx

https://www.microsoft.com/en-us/TrustCenter/Compliance/SpainENS