Safe Harbor y LOPD: ¿Cómo seguir trabajando con Mailchimp y Dropbox?

El panorama de la LOPD en España ha sufrido un importante cambio desde una resolución de octubre del Tribunal de Justicia Europeo que dificulta mucho la manera de trabajar con empresas que almacenen datos de ciudadanos europeos en servidores de Estados Unidos, como por ejemplo, Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre otras.

Aunque la anulación de Safe Harbor es una avance en la protección de los datos personales, es una mala noticia para todos esos autónomos y pymes que utilizamos estas herramientas de manera habitual y que ahora vamos a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a cambiar de proveedor. Analizamos en este post este cambio en materia de LOPD, lo que supone y qué puedes hacer.

En el origen, Puerto Seguro (Safe Harbor)

Resulta irónico que fuese precisamente en Estados Unidos, donde se fundaron las bases de lo que hoy conocemos como Safe Harbor. En apenas 20 años, EE.UU. ha pasado de ser uno de los pioneros en cuanto a la protección al derecho de datos personales a ser lo todo lo contrario hoy en día. Fue en 1980, cuando dos abogados americanos sentaron las bases de la protección de la privacidad del usuario a raíz de un artículo titulado “The Right to Privacy”.

Supieron ver antes que nadie, el impacto que podrían tener las nuevas tecnologías sobre la sociedad, pero fueron también los primeros en deshonrar la privacidad personal del usuario. Bajo este contexto se creó una regulación Europea que autorizaba a las empresas no europeas la transferencia de datos personales a un tercer país, siempre y cuando se diesen unas garantías mínimas en cuanto a la protección de datos personales.

Max Schrems lo cambia todo

La demanda a Facebook de un activista austríaco llamado Max Schrems sobre la transferencia de sus datos personales y el uso de los mismos fue el detonante de la caída de la ley Safe Harbor. Todo estaba perdido para el austríaco, o eso parecía al principio, pues la primera demanda cayó en saco roto. Pero Schrems llevó el caso ante el Tribunal de Justicia Europeo, y esto supuso la anulación del Safe Harbor.

Anulación del Safe Harbor y sus consecuencias

El pasado 9 de octubre, el Tribunal de Justicia de la Unión Europea anuló la regulación de Safe Harbor, pues se considera que Estados Unidos no está cumpliendo con la normativa de protección de datos.

Al tratarse de una sentencia europea, todos los países miembro deben aplicar la norma y modificar la legislación existente. En España, la Agencia Española de Protección de Datos (AEPD), ha marcado como fecha tope para adaptarse el próximo 29 de enero de 2016.

Y es que para entonces las empresas españolas que usen estos servicios en la nube deberán informar sobre la continuidad de las transferencias y  su adecuación a la normativa de protección de datos. A pesar de la incertidumbre que genera y el revuelo que esta noticia ha generado, la agencia en un comunicado ha aclarado que no es su intención de empezar a sancionar a las empresas.

Y es que no se ha prohibido el uso de servicios con sede en Estados Unidos, eso sería una locura, además la agencia en ningún caso ha pedido a las empresas españolas que dejen de usar los servicios. Sus acciones no están orientadas hacia la prohibición sino a informar a los responsables para que exijan a su proveedor de servicios una respuesta adaptada a la sentencia del TJUE.

¿Cómo afecta a mi empresa?

Como ya sabréis, son muchas las empresas que tienen su sede y data center en Estados Unidos, eso no quiere decir que las empresas españolas no puedan usar sus servicios ni mucho menos.

La disolución del Safe Harbor afecta a:

  • Las plataformas americanas que almacenan información.
  • A los que contraten o usen estas plataformas para el intercambio de datos.

Es importante recordar que no importa la procedencia de la empresa de servicios sino donde se almacenen los datos de la misma. Para ser más claros, si tu empresa tienen una página web o blog, seguramente cuente con los siguientes servicios:

  • Alojamiento web
  • Almacenamiento en la nube
  • Gestión de email

El uso de estos servicios no está perseguido por la AEPD, es decir; si tu empresa utiliza Google Apps y Dropbox para compartir archivos propios sin intercambiar datos de usuarios, no tienes de qué preocuparte.

Pasos para seguir trabajando con empresas de servicios americanas

El problema está cuando trabajas con empresas de servicios americanas y existe un intercambio de datos de usuario por ambas partes. Actualmente para seguir utilizando estas herramientas debes cumplir con los siguientes requisitos:

  1. Puedes acogerte a alguna de las excepciones incluidas en el artículo de transferencia internacional de datos.
  2. Formalizar un contrato entre la empresa proveedora de servicios y la tuya, incluyendo en el mismo las cláusulas de la AEPD. Muchas empresas como Mailchimp ya cuentan un contrato que puedes descargarte desde su página web.
  3. Asegurarte que las empresas tengan sus datacenters en Europa.

Nuestra recomendación: Lo más viable es asegurarte que las empresas con las que trabajas, aunque sean americanas tengan sus datacenters en Europa. De no ser así,

Alternativas a los proveedores americanos

Si quieres evitar cualquier posible problema, lo mejor será que empieces a trabajar con empresas de servicios europeas. En nuestro directorio de proveedores puedes localizar algunos proveedores de hosting y tecnología que te pueden ayudar.

Ahora bien, la triste realidad es que el sector europeo de internet está muy lejos del americano, con servicios peores y sensiblemente más caros a los que ofrecen Mailchimp, Dropbox, Google Apps, WordPress y las redes sociales. Por lo que un cambio de este tipo, aunque beneficie a la gran empresa europea, va a perjudicar a la productividad de las pymes y autónomos europeos.

¿Y ahora qué?

Esta es la gran duda que nos acecha, como hemos dicho es cierto que a corto plazo el fallo del TJEU puede afectar negativamente a la productividad de nuestra empresa, pues tendremos que cambiar de herramientas o bien asegurarnos que cumplen con la normativa.

Pero a medio y largo plazo es de esperar que sea ventajoso, pues no sólo protegerá mejor los datos personales de nuestros usuarios y clientes, sino que supondrá un impulso al sector de internet europeo, que le quitará una porción de mercado a las empresas americanas (que por cierto no tributan aquí).

Además conllevará la apertura de nuevas sedes de almacenamiento en Europa , ya que las empresas del nuevo continente tendrán que acatar las leyes de datos europeas o bien abrir nuevos datacenters en Europa, por lo que ambas medidas son positivas tanto para los usuarios como empresas europeas.

ACTUALIZACIÓN 24/02/2016

El 2 de febrero el Colegio de Comisarios europeos aprobaron un nuevo acuerdo para la transferencia de datos entre Europa y EE.UU. Este nuevo marco protegerá los derechos fundamentales de los europeos cuyos datos se transfieran a EE.UU y así mismo garantizará la seguridad jurídica de las empresas europeas.

Esta medida responde a la sentencia europea que dio hasta el 29 de enero de 2016 de plazo máximo a EE.UU para modificar la legislación existente en cuanto a protección de datos y ajustarse a la normativa europea.

Este nuevo marco impondrá obligaciones más estrictas a las empresas estadounidenses en lo que a protección de datos se refiere. Novedades:

-Mayor nivel de seguimiento y ejecución del departamento de Comercio de EE.UU y la Comisión Federal de Comercio ( FTC)

-Los europeos tendrán la posibilidad de formular preguntas y reclamaciones a un nuevo defensor del pueblo.

Novedades del Escudo EE.UU. – UE

Este nuevo escudo incluye obligaciones rigurosas para todas aquellas empresas que trabajen con datos personales europeos. Esto significa que toda empresa que gestione datos europeos deberá comprometerse a cumplir con las decisiones adoptadas por las autoridades de protección de datos europeas.

Por primera vez se ha conseguido llegar a un acuerdo para ofrecer transparencia para el uso que la administración estadounidense hace de los datos europeos, de manera que estos estarán sujetos a limitaciones.

Los europeos por otra parte, tienen derecho a recurrir si consideran que sus datos han sido utilizados de forma indebida. Además se han establecido plazos para que las empresas respondan a dichas reclamaciones.

Próximos pasos:

Está pendiente de aprobarse un proyecto de “decisión sobre el carácter adecuado de la protección”. Por otra parte, EE.UU está preparando el nuevo marco y las modalidades de seguimiento de este acuerdo. Además deberán nombrar a un nuevo Defensor del Pueblo.

Lali Jiménez
Esta entrada fue publicada en Datos, General, LOPD, Noticias y etiquetada , , , , , . Guarda el enlace permanente.

14 Comentarios en Safe Harbor y LOPD: ¿Cómo seguir trabajando con Mailchimp y Dropbox?

  1. GestAguilar dijo:

    Excelente artículo.

    Muy bien explicado el “Safe Harbor” y que no se prohíbe su uso, sino que se han de informar de las transferencias.

    Incluso enlace a la declaración de la AEPD sobre el tema en cuestión.

    Gracias por compartir la info.

  2. Hola, querría participar al ver las tres soluciones propuestas, comentando que la segunda, formalizando un contrato con las clausulas tipo de la AEPD entre las dos empresas, debe contar con el visto bueno de la Directora de la Agencia, solictándole la autorización correspondiente. Es decir, el hecho de tener formalizado un contrato con las clausulas tipo no es condición suficiente para poder seguir realizando la transferencia internacional.

    Sobre la tercera opción de los Datacenter en Europa, me surge la duda de que si la empresa tiene sede en Estados Unidos, es verdad que no existe transferencia internacional, pero si el gobierno de EEUU solicita a la empresa los datos, ¿esta debe proporcionarselos? en caso afirmativo, ya tendríamos una transferencia internacional de nuevo.

    Saludos

    • Respuesta a Antonio Angel Amo:
      Diego dijo:

      Misma duda aquí. Mi hosting es DigitalOcean para casi todo. Empresa estadounidense pero utilizo “droplets” (servidores) ubicados en Londres. Al inscribir el fichero en la LOPD se da la rara circunstancia de que se especifica que el Encargado del fichero es Estadounidense (ya que es la ubicación central de DigitalOcean) y en cambio no hay modo de decirle que los datos en sí se quedan en Europa al estar en un datacenter europeo.

      • Respuesta a Diego:

        Buenos días Diego;
        En tu caso, puedes pedir una carta formal a tu hosting donde ratifiquen que los datos se almacenan en Europa y no en EEUU.
        Con suerte, esto te servirá para demostrar ante la LOPD la ubicación del servidor.

        Un saludo y suerte 😉

        Lali

  3. Vicente Santonja dijo:

    Muy bien explicado y es cierto que puede suponer alguna limitación, pero también es cierto que si no se ponen algunos límites el poderoso “empresarial” siempre tiene las de ganar y a lo mejor en España o en Europa son un poco más altos, pero son mejores y redundan en nuestra economía.
    Google, dropbox, etc está muy bien, pero estaría bien que no hicieran una competencia desleal tan feroz como hacen.
    Insisto, está claro que puede ser un handicap para ciertas personas, pero tampoco estaría de más que comenzáramos a darle un poco de valor a nuestros datos y a la tecnología.
    Gracias.

  4. Pier Paolo Zini dijo:

    Muchas gracias por tu post, muy interesante y explicativo.
    Te rubo un momento para hacerte dos preguntas.
    La primera: hablando de servicios web (almacenamiento, email y cloud), dices “El uso de estos servicios no está perseguido por la AEPD”, Es decir que si tengo una web en un servidor en EEUU (podría ser Hostgator en veces que Godaddy u otro provider) donde yo soy el Responsable de los datos, utilizo mi espacio alquilado para tener un database (que sea de WordPress, Joomla, Prestashop, o lo que sea …) y no transmito a nadie ningun tipo de informaciones adquiridas de los usuarios de mi web (dirección de correo,nombre, nickname, etc), ¿no necesito de Autorizaciones de la Directora de AEDP? En este caso sería difícil identificar el “importador de datos”, como requiere el art. 5.1.ñ RLOPD y faltaría una “transmisión de datos” entre el exportador y el importador.
    Otra pregunta … Ya sabes algo sobre el utilizo de Google Analytics? No me parece de haber encontrado nada sobre un “contrato estandard” en google y veo solo obligaciónes por parte del utilizador y nada por parte de Google. Además, hay que considerar que si se utilizan las extensiones del servicios (datos sobre la edad, sexo, localidad o idioma del usuario) y también las para hacer remarketing, no se puede utilizar el “anonymizer” del IP que Analytics ofrece, cosa que, en este caso, rinde los datos sensibles.
    Lo mismo se puede decir de Facebook en caso de remarketing …
    A ti que te parece?
    Todo este lio tiene una solución? (lo sé … es una tercera pregunta … )
    Muchas Gracias!

    • Respuesta a Pier Paolo Zini:

      Hola Pier Paolo
      Son preguntas un poco complejas, pero veamos, si los servidores están en EEUU y en ellos se aloja tu database, puedes tener problemas, aunque no se lo transmitas a nadie. El mero hecho de tener los datos allí es lo que ya no se puede hacer al considerar la UE que las empresas americanas que no siguen los estándares europeos no protegen adecuadamente los datos.
      En cuanto a Google Analytics y Adsense, por lo que hemos investigado es casi imposible que consideren las IPs al mismo nivel que los datos privados personales y que por tanto se metan con Analytics. Eso sería válido para campañas de retargeting y de Facebook Ads.
      De todas formas todo esto es interpretable y tendremos que ver en las p´roximas semanas para ver cómo va evolucionando la implantación de estas restricciones
      Un saludo

  5. Gustavo dijo:

    Hola muchas gracias por el post.
    Tenia entendido que dropbox iba a montar datacenter en Irlanda con vistas a adaptarse a la anulacion del Safe Harbor y, por tanto, conseguir que siga siendo “legal” usar dropbox por los europeos para almacenar datos de usuarios.
    ¿Sabes algo de esto?
    Gracias de antemano.

  6. Hola,
    Según me confirman desde la Agencia Española de Protección de datos a parte de realizar lo que se comenta en este articulo para operar con proveedores que alojen datos personales fuera de los países que cuentan con un régimen de protección de datos equiparable a España es solicitar autorización a la AEPD según consta en su web:

    https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php.

    a) Cuando el exportador es el responsable del fichero
    • Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
    • Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
    • Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
    • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los “Colectivos” y a las “Medidas de Seguridad”).

  7. Aixa Corpore dijo:

    Hola, con el nuevo acuerdo si se puede utilizar.

    Te remito a lo que publicamos en su día.

    Acuerdo UE-EE.UU transferencia internacional de datos – “Privacy Shield”.
    http://www.aixacorpore.es/bloguicias/detalle/26/LOPD-LSSI-Acuerdo-UE-EE.UU-transferencias.html

    Aixa Corpore, s.l. – Protección de Datos.

  8. Mario dijo:

    Ok, pero entonces ya se puede seguir utilizando plataformas como MailChimp u otras donde se almacene los datos en EEUU o hay que seguir esperando que se resuelva, se apruebe y defina el nuevo marco en EEUU? o con los pasos que ya se han dado es suficiente?
    Gracias

    • Respuesta a Mario:

      Buenas tardes Mario;
      El marco ya está creado, pero ahora queda firmar el nuevo convenio de transferencia de datos. Por lo que tendremos que esperar hasta que el pacto se haga oficial y que EE.UU nombre a un nuevo Defensor del Pueblo.

      Un saludo

      Lali

  9. Mario dijo:

    Gracias Lali
    Se conocen fechas aproximadas?
    o partir de cuando se puede utilizar?

    gracias