¿Qué es eso del Safe Harbor?

¿Qué es eso del Safe Harbor?


by Miguel Ángel Rubio Lax

Artículo actualizado tras el nuevo acuerdo denominado Privacy Shield que restaura la transmisión de datos entre Europa y Estados Unidos, puedes leerlo aquí.

Seguro que desde hace un par de meses has oído hablar del cese del Acuerdo Safe Harbor y de que seguir usando ciertas aplicaciones “en la nube” tipo MailChimp, Dropbox, Skype o Drive de Google ya no es legal porque vulneran las leyes de protección de datos.

safe harbor

A mediados de diciembre el Periódico El Confidencial alarmó a media España con esta noticia donde avisaba de un supuesto ultimátum de la Agencia Española de Protección de Datos a las empresas españolas que utilizaran aplicaciones cuyos data centers estuvieran ubicadas en EEUU.

Tal fue el revuelo causado que la propia Agencia Española de Protección de Datos tuvo que salir al paso de esas declaraciones con esta nota de prensa donde dejaba claro estos puntos:

  • Que la AEPD no ha dado ningún “ultimátum”.
  • Que es cierto que ha procedido al envío de una comunicación a las empresas de las que tiene constancia con objeto de poner a su servicio canales de información adecuada.
  • Que las acciones de la Agencia están orientadas a las empresas para que requieran a sus proveedores que estos les ofrezcan servicios que se adapten a la normativa de la Unión Europea.
  • La Agencia no ha anunciado la intención de iniciar procedimientos sancionadores, sino, en todo caso, las suspensión temporal de las transferencias.
  • Que están buscando soluciones.

Dicho esto parece que las aguas volvieron a su cauce, pero el asunto está aún abierto.

Para entender un poco este asunto del Safe Harbor vamos a explicar brevemente las obligaciones en materia de protección de datos a las que están sujetas las empresas y autónomos españoles y el propio Safe Harbor.

LOPD – Ley Orgánica de Protección de Datos

La LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) es la ley que regula el derecho a la protección de datos de carácter personal, este es el derecho fundamental de todas las personas sobre el control y uso que se hace de sus datos personales. Este control evita que se pueda llegar a disponer de información sobre nosotros que afecte a nuestra intimidad y demás derechos fundamentales y libertades públicas.

Esta ley deriva de directrices marcadas por la Comunidad Europea y exige que el tratamiento de datos esté debidamente protegido a través de una serie de normas de protección declarando cuales son los países con un nivel adecuado de protección a la hora de depositar o alojar datos de carácter personal en otros países (Transferencias internacionales de datos).

¿Qué es el Safe Harbor?

El Safe Harbor es el Acuerdo de Puerto Seguro con los Estados Unidos, donde en 1999 se iniciaron negociaciones con la Unión Europea en orden a conseguir una declaración de adecuación del nivel de protección de datos personales. Hay que tener en cuenta que las leyes americanas en materia de seguridad y privacidad son bastante más laxas que las europeas, lo que permitía usar aplicaciones que alojan datos de carácter personal en servidores ubicados en Estados Unidos.

Fin del acuerdo Safe Harbor

Tras la disolución del acuerdo Safe Harbor entre Europa y los Estados Unidos muchos servicios que utilizas hasta ahora con plenas garantías para el cumplimiento de la LOPD se han convertido en un blanco de posibles sanciones.

Una de las aplicaciones que se ha visto afectadas es la plataforma de email marketing MailChimp, que tiene sus servidores y data centers ubicados en Estados Unidos.

Si no sabes si es legal o no seguir utilizando MailChimp y no quieres tener problemas legales, lo mejor es que sigas leyendo.

mailchimp

Fuente imagen: Mailchimp.com

¿Qué significa la disolución de Safe Harbor?

Al existir una comunicación de datos de carácter personal desde Europa a países fuera de la UE, esa comunicación se enmarca dentro la llamada “transferencia internacional de datos”.

Las empresas adheridas a Safe Harbor como MailChimp obtenían la calificación de seguras, y se entendía que cumplían con las exigencias en materia de protección de datos exigidas por la Unión Europea. Hasta el fin del acuerdo esas transferencias de datos contaban con “paraguas legal”.

Al disolverse el acuerdo todas las aplicaciones cuyos data centers estén ubicados en Estados Unidos ya no son considerados seguros, de tal forma que usar estos programas donde alojamos y guardamos en ellos datos de carácter personal de nuestros clientes, proveedores, trabajadores o contactos ya no cumplen la legislación vigente en materia de LOPD.

¿Qué pasará con los proveedores de servicios americanos tras la disolución del Safe Harbor?

Al disolverse ese marco legal ya no basta con la declaración, también se exige una autorización especial al propietario de la aplicación que es muy difícil de conseguir, ya que se trata de proveedores americanos con millones de clientes en Europa con la misma problemática.

La sanción para las empresas que no realizan el trámite puede llegar a ser de hasta 40.000€.

Por tanto, las empresas que trabajan con aplicaciones como MailChimp deben llevar a cabo un trámite adicional que consiste no solo en notificar la transferencia internacional de datos a la Agencia Española de Protección de Datos, sino también deberán requerir una autorización específica.

Es posible que estés pensando que para una empresa con cierta capacidad económica el problema lo solucionaría instalando servidores en territorio europeo y abriendo una nueva sociedad en este mismo país. Pero lo cierto es que hasta ahora éstas empresas no han movido ficha, y que otras aplicaciones con una economía más modesta les puede resultar más difícil esta opción.

Riesgos de transferir datos a empresas americanas tras la disolución del Safe Harbor

Ahora mismo el mayor riesgo es que cualquier cliente, trabajador o proveedor podría llegar a demandar a tu empresa ante la AEPD por utilizar servicios como MailChimp que presentan un alto grado de vulnerabilidad de la privacidad.

El coste para las empresas puede llegar a ser de hasta 300.000€.

Si eres una agencia o consultor de marketing que entre sus servicios se encuentra la del envío de campañas de email marketing, piensa que puedes comprometer a tu cliente que te ha dado su base de contactos de mail si alojas estos datos en una aplicación con servidores en Estados Unidos.

¿Qué puedes hacer si trabajas con MailChimp o similar?

Siempre que contrates con una plataforma de email marketing a un proveedor localizado en EE.UU. se considerará transferencia internacional de datos.

Para poder cubrirte legalmente se debe llevar a cabo un trámite adicional que consiste en notificar esa transferencia internacional de datos a la Agencia Española de Protección de Datos y además requerir la autorización de la dirección.

Visto esto existen 3 alternativas:

  1. Utilizar las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea y pedir al proveedor de servicios que te las devuelva firmadas, algo poco práctico teniendo en cuenta que el contrato debe estar en español o aportar traducción jurada.
  2. Acogerte a alguna de las excepciones del artículo 34 de la LOPD, en el caso de un proveedor de mensajería, solo hay una que se puede invocar: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. Para eso se debería acreditar de forma explícita que todos esos contactos de tu base de datos han dado el consentimiento para esa transferencia de datos.
  3. Migrar los datos a otro proveedor de mensajería con servidores en Europa y si es español, tanto mejor, una de esas opciones sería usar la plataforma de email marketing teenvio.com, de la que elaboré un artículo en este blog para los que no la conozcan, o Mail Relay, entre otras.

Las alternativas están claras…ahora decides tú cuál es la más sencilla y ventajosa para tu negocio.

¿Por cuál apuestas tú?

 

Sobre el autor

Miguel Angel Rubio Lax

Miguel Ángel Rubio Lax

Consultor en marketing digital especializado en el sector sanitario. Copropietario de la agencia La Consulta – Marketing Sanitario donde llevo a cabo labores de SEO, Analítica Web y Social Media. Según palabras de Miguel Ángel, “creo en el buen contenido por encima de todas las cosas para enganchar a tu target y convertirlo en cliente”. Certificado por Google en Analytics.

IMO Programs relacionados

No hay cursos relacionados

ARTICULOS IMO

2 comments

  1. Alfredo Hernández-Díaz says:

    Enhorabuena Miguel Ángel por este artículo bien documentado que ofrece posibles soluciones ante una problemática que está generando un gran revuelo entre agencias y profesionales del marketing digital, entre otros sectores.

    Saludos cordiales!!!

    Responder
    • Miguel Ángel Rubio Lax says:

      Muchas gracias por tus palabras Alfredo,

      La verdad es que debemos empezar a tomar conciencia de la importancia del uso y tratamiento de datos de carácter personal, y no solo porque puedan sancionarnos.

      Saludos!!!

      Miguel Ángel.

      Responder

Dejar un Comentario

O bien accede con tus redes sociales
Facebook Google Twitter LinkedIn

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *