[space]
LOPD y Safe Harbor
Para poder entender algo mejor que son estos términos vamos ha exponer un pequeño resumen de esta terminología para ponernos en situación:
LOPD
La LOPD (Ley Orgánica de Protección de Datos de Carácter Personal de España) es la ley que regula el derecho a la protección de datos de carácter personal, este es el derecho fundamental de todas las personas sobre el control y uso que se hace de sus datos personales. Este control evita que, a través del tratamiento de nuestros datos, se pueda llegar a disponer de información sobre nosotros que afecte a nuestra intimidad y demás derechos fundamentales y libertades públicas.
Esta ley deriva de directrices marcadas por la Comunidad Europea y exige que el tratamiento de datos esté debidamente protegido a través de una serie de normas de protección declarando cuales son los países con un nivel adecuado de protección a la hora de depositar o alojar datos de carácter personal en otros países (Transferencias internacionales de datos).
Safe Harbor
Acuerdo de Puerto Seguro con los Estados Unidos de América, donde en 1999 se iniciaron negociaciones con la Unión Europea en orden a conseguir una declaración de adecuación del nivel de protección de datos personales. Finalmente se plasmó un acuerdo en la Decisión de la Comisión de 26 de Julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América.
Fin del acuerdo
A estas alturas sabrás que tras la disolución del acuerdo Safe Harbor entre Europa y los Estados Unidos de América, muchos servicios que utilizabas hasta ahora con plenas garantías, para el cumplimiento de la LOPD, se han convertido en un blanco de posibles sanciones.
Para hablar de estos aspectos legales de una forma sencilla, práctica y veraz hemos pedido ayuda a Marina Brocca, Consultora especialista en Protección de Datos, que ha redactado íntegramente este artículo.
Una de las plataformas de email marketing afectadas por esa disolución es Mail Chimp, que tiene sus servidores y data centers ubicados en Estados Unidos.
[piopialo vcboxed=»1″]Una de las plataformas afectadas por la disolución Safe Harbor es Mail Chimp[/piopialo]
Si no sabes si es legal o no seguir utilizando esa plataforma y no quieres tener problemas legales, lo mejor es que sigas leyendo.
[space]
¿Qué significa la disolución de Safe Harbor?
Al existir una comunicación de datos de carácter personal desde Europa a países fuera de la UE, esa comunicación se enmarca dentro la llamada “transferencia internacional de datos”.
Las empresas adheridas a Safe Harbor como Mail Chimp obtenían la calificación de seguras, y se entendía que cumplían con las exigencias en materia de protección de datos exigidas por la UE.
[piopialo vcboxed=»1″]Si no sabes si utilizar Mail Chimp es legal o no, este artículo puede interesarte[/piopialo]
Hasta ahora, y gracias al acuerdo Safe Harbor, esas transferencias contaban con un paraguas legal que permitía poder declarar el fichero en la Agencia Española de Protección de Datos sin tener que requerir una autorización especial a la dirección de la AEPD.
Pero todo cambió al disolverse ese acuerdo, y ahora las empresas cuyos data centers estén ubicados en Estados Unidos ya no son considerados como seguros para que podamos transferir datos personales a estos servidores, como es el caso de Mail Chimp que se encuentran sometidos a otra legislación (la norteamericana) en lo concerniente a privacidad y confidencialidad.
Para cumplir con la legislación vigente, las empresas que trabajan con Mail Chimp deberían llevar a cabo un trámite adicional que consiste no solo en notificar la transferencia internacional de datos a la Agencia Española de Protección de Datos, sino también requerir una autorización específica a Mail Chimp.
Hay que tener en cuenta que el sometimiento de los servicios de correo electrónico a la USA Patriot Act podría provocar que empresas españolas llegasen a incumplir la LOPD.
El gobierno de EEUU, bajo el paraguas ‘Patriot Act’, puede aplicar todas y cada una de sus leyes a estos datos sin tener en cuenta el acuerdo Safe Harbor de protección de datos acordado entre los EE.UU y la UE, acuerdo que se ha probado ineficaz de cara a las garantías legales que le son exigidas.
[space]
¿Qué pasará con los proveedores de servicios americanos tras la disolución del Safe Harbor?
Al disolverse ese marco legal ya no basta con la declaración, también se exige una autorización especial muy difícil de conseguir al tratarse de un proveedor americano con millones de clientes en Europa con la misma problemática.
La sanción para las empresas que no realizan el trámite puede llegar a ser de hasta 40.000€.
Por tanto, las empresas que trabajan Mail Chimp deben llevar a cabo un trámite adicional que consiste no solo en notificar la transferencia internacional de datos a la Agencia Española de Protección de Datos, sino también deberán requerir una autorización específica. Ten en cuenta que la sanción para las empresas que no realizan el trámite puede llegar a ser de hasta 40.000€.
[space]
Riesgos de transferir datos a empresas americanas tras la disolución del Safe Harbor
Ahora mismo el mayor riesgo es que cualquier cliente podría llegar a demandar a tu empresa ante la AEPD por utilizar servicios como Mail Chimp que presentan un alto grado de vulnerabilidad de la privacidad, dado que EEUU no garantiza las mismas condiciones de confidencialidad exigidas para las empresas europeas.
El coste para las empresas puede llegar a ser de hasta 300.000€.
Otra consecuencia es la pérdida de confianza en empresas colaboradoras que exijan un alto nivel de seguridad. Ten en cuenta que cuando las empresas tienen firmado un contrato de confidencialidad con un cliente, éste le puede demandar al utilizar un servicio como Mail Chimp que tras la disolución de Safe Harbor, ya no tiene garantizada la confidencialidad pactada.
Esto puede repercutir negativamente en tu competitividad.
¿Qué puedes hacer si trabajas con Mail Chimp?
Siempre que contrates un servicio de correo electrónico a un proveedor localizado en EE.UU. se considerará transferencia internacional de datos.
Si trabajas con Mail Chimp debes llevar a cabo un trámite adicional que consiste en notificar la transferencia internacional de datos a la Agencia Española de Protección de Datos y además requerir la autorización de la dirección.
Visto esto, tienes 3 alternativas:
- Utilizar las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea y pedir a Mail Chimp que te las devuelva firmadas, algo poco práctico teniendo en cuenta que el contrato debe estar en español o aportar traducción jurada.
- Acogerte a alguna de las excepciones del artículo 34 de la LOPD, en el caso de un proveedor de mensajería, solo hay una que podrías invocar: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. Para eso, deberás acreditar debidamente el consentimiento de todas las personas que incluyas en tu lista de correo.
- Migrar datos a otro proveedor de mensajería con servidores en Europa y si es español, tanto mejor, una de esas opciones sería teenvio.com.
Creo que las alternativas están claras, ahora tú decides qué alternativa es la más sencilla o ventajosa para tu negocio.
¿Por cuál apuestas tú?
www.marinabrocca.com Consultora en Protección de Datos
