Entradas

Safe Harbor ha muerto, viva Privacy Shield

Como en los mejores guiones cinematográficos Hollywood o en los partidos más emocionantes de fútbol, así ha sucedido con el tan traído tema de las transferencias internacionales de datos: en el último minuto y de penalti, las autoridades de la UE y EEUU han alcanzado un acuerdo, bautizado ya como Privacy Shield, que sustituirá al ya defenestrado Safe Habor.

ADIOS SAFE HARBOR

Como ya vimos en anteriores posts, el Tribunal de Justicia de la Unión Europea anuló el llamado Tratado de Puerto Seguro dejando un vacío normativo importante que hacía muy difícil para las empresas europeas el poder seguir trabajando con sus proveedores de servicios del otro lado del charco.

El motivo no era otro que la falta de garantías que ofrecía ese tratado para la adecuada aplicación del derecho de protección de datos de los ciudadanos europeos.

SITUACIÓN DE INCERTIDUMBRE

Ante dicha situación de incertidumbre, las empresas europeas adoptaron varias posiciones: desde aquellas que directamente cambiaron de proveedor de servicios para evitar cualquier problema, a aquéllas otras que intentaron obtener, sin mucho éxito eso sí (clientes de Mailchimp), la autorización de la Agencia Española de Protección de Datos, pasando por aquellas que ni se inmutaron en la confianza de que la situación se arreglaría a tiempo.

Y va a ser que han sido éstas las que han acertado de pleno al parecer con el nuevo acuerdo alcanzado entre la EU y los EEUU.

BIENVENIDO PRIVACY SHIELD

A día de hoy, 2 de febrero de 2016, la Comisión Europea ha emitido un informe de prensa en el que se anuncia que, tras las correspondientes negociaciones, la UE y los EEUU han alcanzado un acuerdo, ya bautizado como Privacy Shield, que vendrá a sustituir al Safe Harbour.

QUÉ HAY DE NUEVO EN EL PRIVACY SHIELD

A pesar de que aún no conocemos el contenido del acuerdo alcanzado, parece ser que dicho Privacy Shield subsana y corrige las deficiencias detectadas en el Safe Harbour:

1.- Se incrementan las obligaciones de las empresas norteamericanas.-

Los proveedores estadounidenses que traten datos personales provenientes de Europa se comprometerán a cumplir con obligaciones más sólidas en el tratamiento de los datos personales así como garantizar los derechos individuales de protección de datos de los ciudadanos.

2.- Mayor control por parte de las autoridades norteamericanas.-

Las autoridades estadounidenses controlarán que los proveedores publiquen sus compromisos, haciendo exigible la aplicación de las medidas contenidas en los mismos.

3.- Cumplimiento de las decisiones de las autoridades de control europeas.

De forma paralela a lo anterior, cualquier proveedor norteamericano que trate datos personales provenientes de Europa tiene que comprometerse a cumplir con las decisiones de las autoridades de control europeas.

4.- Obligaciones de transparencia en el acceso del gobierno de EEUU:

Por primera vez, los EEUU han ofrecido, por escrito, garantías a la UE en los que se descarta la vigilancia masiva e indiscriminada de los datos personales transferidos a los EEUU en el marco del nuevo acuerdo.

De este modo, el acceso por las autoridades públicas de EEUU a los datos de los europeos se sujetará a limitaciones, garantías y mecanismos claros y objeto de supervisión que se revisarán periódicamente.

5.- Protección efectiva de los derechos ciudadanos de la UE.-

Cualquier ciudadano europeo que considere que sus datos han sido mal utilizados bajo el nuevo acuerdo tendrá varias posibilidades de recurso, fijándose plazos de respuesta obligadas para los proveedores. Además, la resolución alternativa de conflictos será gratuita.

Igualmente, las autoridades de control europeas podrán remitir quejas al Departamento de Comercio y la Comisión Federal de Comercio.

Finalmente, para quejas sobre el posible el acceso de las autoridades de inteligencia de EEUU, se creará un nuevo Defensor.

PROXIMOS PASOS

Una vez alcanzado el acuerdo político, por el lado de la UE, se elaborará un proyecto de que se presentará en las próximas semanas, que deberá ser aprobado por la Comisión después de obtener el asesoramiento del Grupo del artículo 29 y previa consulta a un comité compuesto por representantes de los Estados miembros.

Mientras tanto, la parte estadounidense hará los preparativos necesarios para poner en marcha el nuevo marco, los mecanismos de supervisión y la figura del nuevo Defensor.

La AEPD rechaza las soluciones ofrecidas por Mailchimp

La Agencia Española de Protección de Datos (AEPD) nos da una nueva entrega de este culebrón que se ha desencadenado con la anulación, por parte de la justicia europea, del ya famoso Tratado o Convenio de Puerto de Seguro o Safe Harbor.

 

La anulación del Safe Harbor y las transferencias internacionales de datos

En posts anteriores (Te explicamos el Safe Harbor y ¿Qué consecuencias tiene para tu empresa la anulación del Safe Harbor)), ya os contamos, de forma detallada y accesible, qué había pasado con este tema de las transferencias internacionales de datos (TID) que, a la gran mayoría, le sonaba a chino mandarín hasta ese momento.

No obstante, con la citada anulación hemos podido comprobar que muchos de los servicios que empleábamos para mil cosas en la red y que hacíamos con plataformas online norteamericanas (Twitter, Amazon, Facebook o Google, por poner sólo los casos más sonados) ya no podemos hacerlas si somos empresas o profesionales que emplean datos personales para el desarrollo de sus actividades.

 

El Caso de Mailchimp

Uno de los casos que menos repercusión está teniendo para el usuario particular medio, pero que mayor importancia puede tener para las empresas y profesionales dedicados al marketing online es el referido a Mailchimp.

Para quien no lo sepa, Mailchimp es una plataforma, perteneciente a una entidad con nombre The Rocket Science Group, LLC y sede en el estado de Georgia, en concreto, en la ciudad de Atlanta (EE.UU.).

Mailchimp provee a sus usuarios de una plataforma que permite la creación de listas de correo, la elaboración de plantillas de correo y la realización de campañas publicitarias y promocionales a través del envío de mailings.

 

El uso de Mailchimp antes y después de la anulación de Safe Harbor

Hasta el momento de la anulación del Safe Harbor, los usuarios consideraban a Mailchimp como el servicio líder de correo electrónico profesional, por lo que su uso en el sector del mail marketing era generalizado.

No obstante, las dudas en sus usuarios comenzaron a surgir a razón de la ya famosa sentencia que anuló el Convenio de Puerto Seguro y de muchos y variados (además de catastrofistas) comentarios a lo largo y ancho de la red.

 

La solución ofrecida por Mailchimp

Ante las dudas generadas, Mailchimp pareció zanjar el tema poniendo a disposición de sus usuarios un documento contractual en el que ofrecía unas garantías similares a las exigidas por la normativa de protección de datos de los países de la U.E.

Parecía que con dicho documento debidamente firmado por los usuarios obligados al cumplimiento de la LOPD y su Reglamento, unido a la solicitud de autorización, la AEPD iba a dar el trámite por bueno e iba a permitir las TID efectuadas por las empresas y profesionales usuarios a Mailchimp.

 

La AEPD rechaza la solución ofrecida por Mailchimp

En concreto, esta misma semana nos han comentado desde la AEPD que están rechazando sistemáticamente las solicitudes de usuarios de servicios de Mailchimp por las siguientes consideraciones:

1º.- Los contratos a que hace referencia Mailchimp están redactados en inglés, de modo que ello podría afectar a la validez del consentimiento de los usuarios que no tengan un debido conocimiento de dicho idioma.

Adicionalmente a ello, la legislación española requiere que cualquier tipo de documento a entregar ante un órgano de la administración haya de venir debidamente traducido, circunstancia que tampoco tiene lugar.

2º.- Además de lo anterior, en ningún momento se acredita la firma, por ningún medio fehaciente, de la contraparte, esto es, de Mailchimp.

Todo ello sin olvidar que no se aportan las identidades y los poderes de los representantes legales de esta empresa.

 

¿Qué hacer a día de día de hoy?

Teniendo en cuenta todo lo anterior, o mucho cambian las cosas por parte de Mailchimp (está claro que desconocen el funcionamiento de unas autoridades y una legislación como la española tan diferente a la anglosajona) para poder salvar estos obstáculos o mucho nos tememos que los usuarios de esta plataforma han de ir preparando la migración a servicios europeos que ofrezcan las mismas o similares ventajas.

No obstante, os mantendremos convenientemente informados de las novedades que puedan sucederse.

 

¿Qué consecuencias tiene para tu empresa la anulación del Safe Harbor?

Ya es archiconocida la resolución del Tribunal de Justicia de la Unión Europea sobre Safe Harbor o Puerto Seguro (mecanismo legal que permite la transferencia de datos desde la Unión Europea a Estados Unidos), comenzada por un joven abogado irlandés, Max Schrems, que ha conseguido la anulación del acuerdo de Puerto Seguro por no cumplir las garantías de seguridad en la protección de los datos personales.

 

Posiblemente no tenga mucha incidencia en las grandes compañías, pues éstas podrán establecerse en territorio europeo, cosa que en términos económicos sería magnífico. Pero para las PYMES y autónomos sí que puede afectar, si finalmente no se alcanza un acuerdo a finales de enero de 2016 (el mes que viene). Y es que somos muchos los que hacemos uso de plataformas norteamericanas para tratar y almacenar datos personales.

 

A la sentencia no le falta razón, pues el Safe Harbor o Puerto Seguro no es más que un sistema de autorregulación, una especie de Juan Palomo, yo me lo guiso y yo me lo como, ya que los requisitos a los que se adherían las empresas norteamericanas no son suficientes per se para garantizar o proporcionar un nivel adecuado de protección de los datos personales de los europeos.

 

Por tanto, para esas PYMES y autónomos que hacen uso de datacenters y servidores en los Estados Unidos, la recomendación es la misma que se hace para cuando se realiza una transferencia internacional de datos. Eso, o hacer uso de proveedores nacionales o comunitarios.

 

Recordemos que para realizar una transferencia internacional de datos debemos tener la autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo excepciones. Por ejemplo, que el Estado donde se reciban los datos ofrezca un nivel adecuado de protección, que no son muchos, a saber: Suiza; Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda. O bien, una de las excepciones tasadas de la ley, entre las que se encuentra la del consentimiento inequívoco del afectado a la transferencia. Eso sí, en todo caso se debe notificar las transferencias internacionales de datos al Registro General de Protección de Datos. Lo contrario sería incurrir en una infracción muy grave, con multas de hasta 600.000 euros.

Te explicamos el Safe Harbor

¿Con qué tiene que ver el Puerto Seguro o Safe Harbor?

 

Todas las referencias que estamos leyendo últimamente en relación con la anulación del Safe Harbor o Puerto Seguro tienen que ver con la privacidad y el dinero.

 

Con privacidad porque lo que está en juego es la protección de la privacidad y de la protección de datos en las relaciones entre Europa y EE.UU.

 

Con dinero porque, en la mayor parte de los casos, los servicios y plataformas telemáticas que empleamos en la red pertenecen a entidades norteamericanas (pensemos, por poner sólo los ejemplos más conocidos, en Facebook, Twitter, Amazon, Apple, Google…).

 

En Europa protegemos de una determinada forma la privacidad…

 

En Europa estamos, desde hace ya un tiempo, enormemente concienciados con el tema de la privacidad y con garantizar a toda costa el derecho a la protección de datos de carácter personal.

 

De ahí que surgieran normas en la U.E. que, posteriormente, dieron lugar, en cada estado de la U.E., a su correspondiente norma de protección de datos (en España, sin ir más lejos, la archiconocida L.O.P.D. y su Reglamento), dando lugar a un marco legal que pretendía proteger la privacidad de forma homogénea.

 

Pues bien, dentro de dichas normas, existen disposiciones muy restrictivas para aquellos casos en los que los datos salgan de las fronteras nacionales de los estados europeos, como sucede en el caso de SaaS y de las plataformas y servicios norteamericanos ya comentados

 

… Y en EE.UU. lo hacen de una manera totalmente distinta…

 

No obstante, al otro lado del charco las cosas eran y son muy diferentes. Son, por así decirlo, mucho más laxos con el tema privacidad (quién no recuerda las declaraciones del CEO de Facebook en las que, hace ya un tiempo, afirmaba que la privacidad había muerto).

 

Dicho de otro modo, las normativas europea y norteamericana se parecían en este tema sólo en el blanco de los ojos.

 

… De ahí que surgiera el Safe Harbor o Puerto Seguro…

 

No obstante la referida diferencia de normativas y de niveles de protección de la privacidad, los negocios, las relaciones económicas y el dinero tenía que seguir fluyendo, sí o sí, entre Europa y los EE.UU., motivo por el cual, tras negociaciones entre ambas organizaciones, surgió el Acuerdo de Puerto Seguro o Safe Harbor.

 

¿Qué regula el Puerto Seguro o Safe Harbor?

 

El Acuerdo de Puerto Seguro pretendía hacer posible la transferencia de datos de la U.E a EE.UU. sólo a aquéllas empresas norteamericanas que se suscribieran al mismo ya que, en teoría, con ello garantizaban la aplicación de una serie de principios en materia de privacidad que los “equipararían” a las empresas europeas en cuanto a nivel de protección de dicha privacidad.

 

¿Ahora qué diantres ha pasado?

 

Pues, básicamente, lo que viene pasando desde fines de la Segunda Guerra Mundial: EE.UU. en su papel de potencia mundial dominante impone sus condiciones al resto de estados y cuando dichos estados tratan de imponerles alguna condición se sacan de la manga un acuerdo del tipo del que estamos hablando para aparentar que se cumple dicha condición.

 

En el presente caso, ese “aparentar” es literal. A las empresas norteamericanas adheridas al Safe Harbor casi que les basta con darse de alta en una lista, pagar una cuota anual (100 $… una inmensidad para empresas como Google y cía) y decir que sí, que van a ser responsables y observar una serie de principios acordes a la normativa europea, sin que haya entidad pública encargada de revisar dicho cumplimiento. Es lo que se llama en este tipo de sectores autorregulación.

 

Pues bien, ante esta situación, el Tribunal de Justicia de la U.E. dictaminó que por tales circunstancias dicho acuerdo no velaba suficientemente el derecho a la privacidad y a la protección de datos de los ciudadanos europeos y que, por tal motivo, quedaba anulado.

 

¿Y esto en qué me afecta?

 

A los particulares, poco o nada les afecta, ya que siempre que consientan las transferencias internacionales de datos a otros países, lo hacen por su cuenta y riesgo, ya que se supone que son mayores y que se leen los avisos legales de las cías que antes comentábamos (ja!).

 

Mayor problema presenta el tema para las empresas y profesionales que o bien emplean SaaS que proveen empresas del otro lado del charco o bien tienen el alojamiento de sus sitios o blogs en EE.UU. Y eso quedándonos en los dos ejemplos más claros…

 

En un principio, las autoridades de protección de datos europeas, han dado de plazo a la U.E y EE.UU. hasta finales de enero de 2016 para tomar una postura al respecto. Por lo que no hay que entrar en estado de pánico… aún.

 

Nosotros entendemos que las entidades gubernamentales norteamericanas se sacarán de la chistera algún tipo de acuerdo que sustituya al Safe Harbor, pudiendo, para desgracia de muchos, incluso servir de acicate al discutidísimo y enigmático TTIP (Acuerdo Transatlántico para el Comercio y la Inversión).

 

En caso de que sea así, la vida volverá a la “normalidad” (esto es, la EE.UU. exigiendo todo y más y cumpliendo con lo que le da la gana) y podremos seguir enviando datos masivamente a Norteamérica para que su Gobierno haga con ellos lo que sea que hacen por el bien de la seguridad nacional y la democracia.

 

En caso de que no se llegue a algún acuerdo, estamos seguros que la A.E.P.D. emitirá un comunicado oficial o guía (como ha sucedido en otras ocasiones) para clarificar la situación, si bien habrá que cumplir las normas contenidas en la L.O.P.D. sobre transferencias internacionales de datos, lo que podrá llegar a suponer, llegado el caso, el buscar servicios telemáticos alternativos a los ya empleados con ubicación en la U.E. u otros países con un nivel de protección similar al de la U.E. Podría incluso darse la circunstancia, que sería muy deseable, que las empresas norteamericanas dejasen de tener sus instalaciones, servidores y demás en suelo de EE.UU. y pasen a tenerlo, para no perder clientes, en suelo europeo y, con ello, quedar sujetos en todo a las normativas de protección de datos de los estados miembros de la U.E.