Cese del acuerdo Safe Harbor, ¿y ahora qué? Medidas a tomar

Alfonso Perez

ene 26, 20168 min de lectura
Cese del acuerdo Safe Harbor, ¿y ahora qué? Medidas a tomar

Estamos seguros de que desde principios del mes de octubre estáis oyendo hablar del cese del Acuerdo Safe Harbor en multitud de blogs y medios de comunicación.

Resulta que ahora usar aplicaciones “i cloud” como pueden ser MailChimp o cualquier aplicación de la suite de Google Apps y, en general, cualquier programa que aloje nuestros datos en servidores norteamericanos parece que vulnera los principios fundamentales de privacidad.

Y no solo lo parece, sino que, de verdad los vulnera de acuerdo a la legislación europea vigente.

¿Qué es el Safe Harbor?

El Safe Harbor con los Estados Unidos de América fue el “Puente Seguro” a través del cual, se iniciaron en el año 1999 negociaciones con la UE en orden a conseguir una declaración de adecuación del nivel de protección de datos personales.

Esto propició que todas las empresas adheridas a este acuerdo que cumplían los 7 principios de la Directiva 95/46 CE conseguían de forma automática la adecuación necesaria en cuanto a tratamiento y privacidad de datos de carácter personal, igual que si de una empresa europea se tratase.

Todos estos principios estaban pensados para prevenir fugas o accesos no autorizados de información.

Y esto es lo que se ha mantenido vigente hasta el cese de este acuerdo.

¿Qué es la Ley Orgánica de Protección de Datos - LOPD?

Hay que tener en cuenta que cualquier PYME o autónomo tiene la obligación de cumplir con la LOPD, Ley Orgánica de Protección de Datos de Carácter Personal.

Esta es la ley que regula el derecho a la protección de datos de carácter personal que es un derecho considerado fundamental, pertenece a cualquier persona y sirve como garante acerca del control y el uso que se pudieran hacer de sus datos personales.

Gracias a la LOPD los ciudadanos podemos encontrarnos protegidos sobre cualquier uso fraudulento de información que afecte a nuestra intimidad o libertad.

Al igual que otras muchas leyes, la LOPD deriva de directrices marcadas por la Unión Europea y exige que el tratamiento de datos esté debidamente protegido a través de una normativa que busca unificar criterios para proteger esa información.

En esas directrices también se detallan cuáles son los  países con un nivel adecuado de protección para que las empresas que tengan que hacer una “transferencia internacional de datos” sepan si están adecuados a la normativa europea.

Estas obligaciones de cualquier empresario de velar por los datos de carácter personal de sus clientes, proveedores, empleados, etc… pasan también por el lugar donde se guarda esta información, de ahí, que usar cualquier software tipo ERP o CRM tipo “cloud” cuyos data centers se encuentren en EEUU ya no se consideran seguros o con arreglo a la legislación vigente.

Si queréis conocer en mayor profundidad cómo afecta la legislación vigente en materia de LOPD y LSSI a las comunicaciones digitales y por correo electrónico podéis leer más en este artículo.

Quizás os preguntéis por qué un país considerado potencia mundial como Estados Unidos no tiene un nivel de adecuación de obligaciones en materia de LOPD parecida a la europea.

Es más, os podéis cuestionar hasta que punto es “inseguro” para garantizar el mismo nivel de protección que haya provocado la ruptura de este acuerdo.

Pues efectivamente es así, sus leyes vulneran algunos de los principios que se consideran esenciales en materia de protección y privacidad de datos de carácter personal.

En EEUU la CIA puede solicitar, por ejemplo, el acceso a un perfil de Facebook sin necesidad de una orden judicial y Facebook debe dárselo sin ningún tipo de contemplaciones.

En España eso es impensable, ya que para que una empresa dé acceso a este tipo de información debe mediar siempre una autorización judicial.

Nos preguntamos entonces hasta qué punto nuestros datos están seguros o cumplen los niveles de protección que se nos exige en España cuando trabajamos con plataformas norteamericanas.

Con el cese del Safe Harbor, la respuesta es que no se cumplen estos niveles de protección.

Fin del acuerdo de Safe Harbor

Tras la disolución del acuerdo entre Europa y Estados Unidos el pasado 6 de octubre como consecuencia de las revelaciones de Edward Snowden, muchos servicios que se estaban utilizando de una forma habitual con plenas garantías respecto al cumplimiento de la LOPD han pasado a convertirse en un posible foco de sanciones por parte de la AEPD.

Debido al cese de este acuerdo muchas aplicaciones se han visto afectadas, siendo una de las más populares o donde más han puesto el foco los medios de comunicación la plataforma de email marketing MailChimp.

Los servidores de esta plataforma, es decir, desde donde se accede al programa y se guardan los datos están ubicados en EEUU.

¿Qué significa la disolución de Safe Harbor?

Como existe una comunicación de datos considerados de carácter personal desde países de la Unión Europea a países de fuera de nuestras fronteras, esa comunicación pasa a ser catalogada como una  “transferencia internacional de datos”.

Las empresas que se adhirieron a Safe Harbor, como es el caso deMailChimp, obtenían la calificación de seguras, dando por hecho que cumplían con la normativa en materia de LOPD exigida por la Unión Europea.

Digamos que hasta el cese del acuerdo estas empresas estaban amparadas dentro un marco legal que les aseguraba ser consideradas como seguras.

Al disolverse el acuerdo, todos los programas cuyo centro de datos esté ubicado en Estados Unidos pasan automáticamente a ser catalogados como no seguros, con lo que desaparece ese marco legal que les amparaba y pasan ahora a no cumplir la legislación vigente.

Todo este asunto del cese de Safe Harbor ha causado cierta confusión y revuelo mediático, sobre todo, cuando a mediados de diciembre el Periódico El Confidencial alarmó a media España con esta noticia donde alertaba del ultimátum de la Agencia Española de Protección de Datos a las empresas españolas que utilizaran aplicaciones cuyos data centers estuvieran ubicadas en EEUU.

La propia Agencia Española de Protección de Datos tuvo que realizar un comunicado desmintiendo esta información a través de esta nota de prensa donde manifestaba:

Que la AEPD no ha dado ningún “ultimátum” a nadie.

Que es verdad que ha empezado a enviar una comunicación a las empresas que pueden estar afectadas para poner a su servicio información pertinente.

Que las acciones de la Agencia están orientadas a que las empresas requieran a sus proveedores para que éstos les ofrezcan servicios que se adapten a la normativa de la Unión Europea.

Que no han anunciado la intención de iniciar sanciones, sino que, en todo caso, las suspensión temporal de las transferencias.

Que están buscando soluciones.

Con este comunicado parece que todo quedaba claro, aunque, en realidad, todo está en el aire, ya que, el próximo 30 de enero la Agencia Española de Protección de Datos ha anunciado pronunciarse al respecto e indicar cuáles van a ser sus líneas de actuación para normalizar este tema.

¿Qué ocurre ahora con los servicios americanos tras la disolución del acuerdo?

Safe Harbor Transferencia de datos

Al disolverse ese marco legal ya no basta con la declaración, también se exige una autorización especial del propietario de la aplicación.

Esta declaración por parte del proveedor norteamericano es muy difícil de obtener, ya que, hablamos de una problemática que afecta a miles de clientes europeos.

Según la legislación vigente, por este tipo de incumplimiento la AEPD podría imponer sanciones de hasta 40.000 € por no realizar este trámite legal.

Visto esto, las empresas que quieran seguir trabajando con aplicaciones como MailChimp deben, además de notificar a la Agencia Española de Protección de Datos esa “transferencia internacional de datos”, conseguir una autorización específica.

Riesgos de seguir utilizando estas aplicaciones

Ahora mismo, el mayor riesgo es que puedan demandar a una empresa ante la AEPD por utilizar servicios que presentan un alto grado de vulnerabilidad de la privacidad.

El coste para las empresas puede llegar a ser de hasta 300.000€.

Otro punto importante a remarcar es que, cualquier pyme o autónomo no solo debe poner especial cuidado en dónde aloja estos datos, sino dónde lo hacen los terceros que tratan con sus datos.

Por ejemplo, si tu asesor fiscal trabaja con un software de gestión en la nube que aloja datos en servidores americanos podría estar comprometiendo los datos de tus clientes, proveedores o trabajadores.

Al igual que si encargamos a nuestra agencia de marketing una campaña de email marketing y esta agencia usa una plataforma de envío como MailChimp.

¿Qué puedes hacer si trabajas con MailChimp o similar?

Siempre que se contrate cualquier servicio de esta naturaleza a un proveedor localizado en EEUU se considerará transferencia internacional de datos.

Para poder cubrirse legalmente se debe llevar a cabo un trámite adicional que consiste en notificar esa transferencia internacional de datos a la Agencia Española de Protección de Datos y, además, requerir la autorización de la dirección.

Para ello existen 3 alternativas:

Utilizar las Cláusulas Contractuales Tipo adoptadas por la UE para enviarlas al proveedor del servicio afectado para que las devuelva firmadas.

Acogerse a alguna de las excepciones del artículo 34 de la LOPD.

En el caso de un proveedor de mensajería, solo hay una que se puede invocar: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”.

En este supuesto se debería requerir de forma explícita que todos los contactos de esa base de datos den el consentimiento para esa transferencia de datos.

Ni qué decir tiene que es algo realmente laborioso o prácticamente imposible de conseguir cuando hablamos de bases de datos de muchos contactos.

Migrar los datos a otro proveedor de servicios con servidores en Europa.

En el caso de proveedores de email marketing a servicios de email marketing como teenvio.com o similares.

Y esta parece la solución más viable y sencilla para la mayoría de afectados.

Las alternativas están claras, ¿por cuál apostarías tú?

No obstante, tal y como hemos comentado en este post, el próximo 30 de enero la Agencia Española de Protección de Datos se pronunciará al respecto.

Ante esto nos surgen nuevas preguntas:

¿Habrá un nuevo Safe Harbor II?

¿Este nuevo Safe Harbor II será más beligerante que el primero para asegurar medidas de protección similares a las europeas?

¿Dará la AEPD un plazo para que las empresas se adecúen?

¿Actuará la AEPD sancionando a las empresas que no cumplan con este criterio?

¿Moverán ficha las empresas americanas afectadas instalando servidores en suelo europeo?

¿Todo seguirá igual?

Foto ( Safe Harbor): Shutterstock

Son muchas las preguntas sobre Safe Harbor que todavía están pendientes de respuesta y que, en función de los acontecimientos iremos ampliando en sucesivos posts.

Compartir
Author Photo
Alfonso es Project Manager de Teenvio.com, así como, responsable del control,  gestión y promoción de la aplicación. Soporte, apoyo y atención al cliente.