Entradas

La AEPD rechaza las soluciones ofrecidas por Mailchimp

La Agencia Española de Protección de Datos (AEPD) nos da una nueva entrega de este culebrón que se ha desencadenado con la anulación, por parte de la justicia europea, del ya famoso Tratado o Convenio de Puerto de Seguro o Safe Harbor.

 

La anulación del Safe Harbor y las transferencias internacionales de datos

En posts anteriores (Te explicamos el Safe Harbor y ¿Qué consecuencias tiene para tu empresa la anulación del Safe Harbor)), ya os contamos, de forma detallada y accesible, qué había pasado con este tema de las transferencias internacionales de datos (TID) que, a la gran mayoría, le sonaba a chino mandarín hasta ese momento.

No obstante, con la citada anulación hemos podido comprobar que muchos de los servicios que empleábamos para mil cosas en la red y que hacíamos con plataformas online norteamericanas (Twitter, Amazon, Facebook o Google, por poner sólo los casos más sonados) ya no podemos hacerlas si somos empresas o profesionales que emplean datos personales para el desarrollo de sus actividades.

 

El Caso de Mailchimp

Uno de los casos que menos repercusión está teniendo para el usuario particular medio, pero que mayor importancia puede tener para las empresas y profesionales dedicados al marketing online es el referido a Mailchimp.

Para quien no lo sepa, Mailchimp es una plataforma, perteneciente a una entidad con nombre The Rocket Science Group, LLC y sede en el estado de Georgia, en concreto, en la ciudad de Atlanta (EE.UU.).

Mailchimp provee a sus usuarios de una plataforma que permite la creación de listas de correo, la elaboración de plantillas de correo y la realización de campañas publicitarias y promocionales a través del envío de mailings.

 

El uso de Mailchimp antes y después de la anulación de Safe Harbor

Hasta el momento de la anulación del Safe Harbor, los usuarios consideraban a Mailchimp como el servicio líder de correo electrónico profesional, por lo que su uso en el sector del mail marketing era generalizado.

No obstante, las dudas en sus usuarios comenzaron a surgir a razón de la ya famosa sentencia que anuló el Convenio de Puerto Seguro y de muchos y variados (además de catastrofistas) comentarios a lo largo y ancho de la red.

 

La solución ofrecida por Mailchimp

Ante las dudas generadas, Mailchimp pareció zanjar el tema poniendo a disposición de sus usuarios un documento contractual en el que ofrecía unas garantías similares a las exigidas por la normativa de protección de datos de los países de la U.E.

Parecía que con dicho documento debidamente firmado por los usuarios obligados al cumplimiento de la LOPD y su Reglamento, unido a la solicitud de autorización, la AEPD iba a dar el trámite por bueno e iba a permitir las TID efectuadas por las empresas y profesionales usuarios a Mailchimp.

 

La AEPD rechaza la solución ofrecida por Mailchimp

En concreto, esta misma semana nos han comentado desde la AEPD que están rechazando sistemáticamente las solicitudes de usuarios de servicios de Mailchimp por las siguientes consideraciones:

1º.- Los contratos a que hace referencia Mailchimp están redactados en inglés, de modo que ello podría afectar a la validez del consentimiento de los usuarios que no tengan un debido conocimiento de dicho idioma.

Adicionalmente a ello, la legislación española requiere que cualquier tipo de documento a entregar ante un órgano de la administración haya de venir debidamente traducido, circunstancia que tampoco tiene lugar.

2º.- Además de lo anterior, en ningún momento se acredita la firma, por ningún medio fehaciente, de la contraparte, esto es, de Mailchimp.

Todo ello sin olvidar que no se aportan las identidades y los poderes de los representantes legales de esta empresa.

 

¿Qué hacer a día de día de hoy?

Teniendo en cuenta todo lo anterior, o mucho cambian las cosas por parte de Mailchimp (está claro que desconocen el funcionamiento de unas autoridades y una legislación como la española tan diferente a la anglosajona) para poder salvar estos obstáculos o mucho nos tememos que los usuarios de esta plataforma han de ir preparando la migración a servicios europeos que ofrezcan las mismas o similares ventajas.

No obstante, os mantendremos convenientemente informados de las novedades que puedan sucederse.

 

¿Qué consecuencias tiene para tu empresa la anulación del Safe Harbor?

Ya es archiconocida la resolución del Tribunal de Justicia de la Unión Europea sobre Safe Harbor o Puerto Seguro (mecanismo legal que permite la transferencia de datos desde la Unión Europea a Estados Unidos), comenzada por un joven abogado irlandés, Max Schrems, que ha conseguido la anulación del acuerdo de Puerto Seguro por no cumplir las garantías de seguridad en la protección de los datos personales.

 

Posiblemente no tenga mucha incidencia en las grandes compañías, pues éstas podrán establecerse en territorio europeo, cosa que en términos económicos sería magnífico. Pero para las PYMES y autónomos sí que puede afectar, si finalmente no se alcanza un acuerdo a finales de enero de 2016 (el mes que viene). Y es que somos muchos los que hacemos uso de plataformas norteamericanas para tratar y almacenar datos personales.

 

A la sentencia no le falta razón, pues el Safe Harbor o Puerto Seguro no es más que un sistema de autorregulación, una especie de Juan Palomo, yo me lo guiso y yo me lo como, ya que los requisitos a los que se adherían las empresas norteamericanas no son suficientes per se para garantizar o proporcionar un nivel adecuado de protección de los datos personales de los europeos.

 

Por tanto, para esas PYMES y autónomos que hacen uso de datacenters y servidores en los Estados Unidos, la recomendación es la misma que se hace para cuando se realiza una transferencia internacional de datos. Eso, o hacer uso de proveedores nacionales o comunitarios.

 

Recordemos que para realizar una transferencia internacional de datos debemos tener la autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo excepciones. Por ejemplo, que el Estado donde se reciban los datos ofrezca un nivel adecuado de protección, que no son muchos, a saber: Suiza; Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda. O bien, una de las excepciones tasadas de la ley, entre las que se encuentra la del consentimiento inequívoco del afectado a la transferencia. Eso sí, en todo caso se debe notificar las transferencias internacionales de datos al Registro General de Protección de Datos. Lo contrario sería incurrir en una infracción muy grave, con multas de hasta 600.000 euros.

Te explicamos el Safe Harbor

¿Con qué tiene que ver el Puerto Seguro o Safe Harbor?

 

Todas las referencias que estamos leyendo últimamente en relación con la anulación del Safe Harbor o Puerto Seguro tienen que ver con la privacidad y el dinero.

 

Con privacidad porque lo que está en juego es la protección de la privacidad y de la protección de datos en las relaciones entre Europa y EE.UU.

 

Con dinero porque, en la mayor parte de los casos, los servicios y plataformas telemáticas que empleamos en la red pertenecen a entidades norteamericanas (pensemos, por poner sólo los ejemplos más conocidos, en Facebook, Twitter, Amazon, Apple, Google…).

 

En Europa protegemos de una determinada forma la privacidad…

 

En Europa estamos, desde hace ya un tiempo, enormemente concienciados con el tema de la privacidad y con garantizar a toda costa el derecho a la protección de datos de carácter personal.

 

De ahí que surgieran normas en la U.E. que, posteriormente, dieron lugar, en cada estado de la U.E., a su correspondiente norma de protección de datos (en España, sin ir más lejos, la archiconocida L.O.P.D. y su Reglamento), dando lugar a un marco legal que pretendía proteger la privacidad de forma homogénea.

 

Pues bien, dentro de dichas normas, existen disposiciones muy restrictivas para aquellos casos en los que los datos salgan de las fronteras nacionales de los estados europeos, como sucede en el caso de SaaS y de las plataformas y servicios norteamericanos ya comentados

 

… Y en EE.UU. lo hacen de una manera totalmente distinta…

 

No obstante, al otro lado del charco las cosas eran y son muy diferentes. Son, por así decirlo, mucho más laxos con el tema privacidad (quién no recuerda las declaraciones del CEO de Facebook en las que, hace ya un tiempo, afirmaba que la privacidad había muerto).

 

Dicho de otro modo, las normativas europea y norteamericana se parecían en este tema sólo en el blanco de los ojos.

 

… De ahí que surgiera el Safe Harbor o Puerto Seguro…

 

No obstante la referida diferencia de normativas y de niveles de protección de la privacidad, los negocios, las relaciones económicas y el dinero tenía que seguir fluyendo, sí o sí, entre Europa y los EE.UU., motivo por el cual, tras negociaciones entre ambas organizaciones, surgió el Acuerdo de Puerto Seguro o Safe Harbor.

 

¿Qué regula el Puerto Seguro o Safe Harbor?

 

El Acuerdo de Puerto Seguro pretendía hacer posible la transferencia de datos de la U.E a EE.UU. sólo a aquéllas empresas norteamericanas que se suscribieran al mismo ya que, en teoría, con ello garantizaban la aplicación de una serie de principios en materia de privacidad que los “equipararían” a las empresas europeas en cuanto a nivel de protección de dicha privacidad.

 

¿Ahora qué diantres ha pasado?

 

Pues, básicamente, lo que viene pasando desde fines de la Segunda Guerra Mundial: EE.UU. en su papel de potencia mundial dominante impone sus condiciones al resto de estados y cuando dichos estados tratan de imponerles alguna condición se sacan de la manga un acuerdo del tipo del que estamos hablando para aparentar que se cumple dicha condición.

 

En el presente caso, ese “aparentar” es literal. A las empresas norteamericanas adheridas al Safe Harbor casi que les basta con darse de alta en una lista, pagar una cuota anual (100 $… una inmensidad para empresas como Google y cía) y decir que sí, que van a ser responsables y observar una serie de principios acordes a la normativa europea, sin que haya entidad pública encargada de revisar dicho cumplimiento. Es lo que se llama en este tipo de sectores autorregulación.

 

Pues bien, ante esta situación, el Tribunal de Justicia de la U.E. dictaminó que por tales circunstancias dicho acuerdo no velaba suficientemente el derecho a la privacidad y a la protección de datos de los ciudadanos europeos y que, por tal motivo, quedaba anulado.

 

¿Y esto en qué me afecta?

 

A los particulares, poco o nada les afecta, ya que siempre que consientan las transferencias internacionales de datos a otros países, lo hacen por su cuenta y riesgo, ya que se supone que son mayores y que se leen los avisos legales de las cías que antes comentábamos (ja!).

 

Mayor problema presenta el tema para las empresas y profesionales que o bien emplean SaaS que proveen empresas del otro lado del charco o bien tienen el alojamiento de sus sitios o blogs en EE.UU. Y eso quedándonos en los dos ejemplos más claros…

 

En un principio, las autoridades de protección de datos europeas, han dado de plazo a la U.E y EE.UU. hasta finales de enero de 2016 para tomar una postura al respecto. Por lo que no hay que entrar en estado de pánico… aún.

 

Nosotros entendemos que las entidades gubernamentales norteamericanas se sacarán de la chistera algún tipo de acuerdo que sustituya al Safe Harbor, pudiendo, para desgracia de muchos, incluso servir de acicate al discutidísimo y enigmático TTIP (Acuerdo Transatlántico para el Comercio y la Inversión).

 

En caso de que sea así, la vida volverá a la “normalidad” (esto es, la EE.UU. exigiendo todo y más y cumpliendo con lo que le da la gana) y podremos seguir enviando datos masivamente a Norteamérica para que su Gobierno haga con ellos lo que sea que hacen por el bien de la seguridad nacional y la democracia.

 

En caso de que no se llegue a algún acuerdo, estamos seguros que la A.E.P.D. emitirá un comunicado oficial o guía (como ha sucedido en otras ocasiones) para clarificar la situación, si bien habrá que cumplir las normas contenidas en la L.O.P.D. sobre transferencias internacionales de datos, lo que podrá llegar a suponer, llegado el caso, el buscar servicios telemáticos alternativos a los ya empleados con ubicación en la U.E. u otros países con un nivel de protección similar al de la U.E. Podría incluso darse la circunstancia, que sería muy deseable, que las empresas norteamericanas dejasen de tener sus instalaciones, servidores y demás en suelo de EE.UU. y pasen a tenerlo, para no perder clientes, en suelo europeo y, con ello, quedar sujetos en todo a las normativas de protección de datos de los estados miembros de la U.E.