Safe Harbor no es una película de Ben Affleck

rosario-rossi-safe-harbor

Si eres asiduo de los blogs de nuevas tecnologías, estarás al tanto de la anulación del Safe Harbor y probablemente hayas leído todo lo legible e ilegible sobre el tema. Tanto si es así, como si no, deberías seguir leyendo, ya que no todo es tan negro ni todos los que trabajamos con protección de datos nos aprovechamos del alarmismo creado.

Para aquellos que ya lleváis más de un mes escuchando hablar del tema, no pretendo aburrir y seguir diciendo todo lo dicho. Si he escrito ahora y no antes, es porque no he querido ser alarmista y esperar un tiempo prudencial para hablar del tema, especialmente para no asustar a mis clientes.

Pero entre los artículos alarmistas y aquellos que han empezado a recibir las notificaciones de la Agencia Española de Protección de Datos, el pánico está servido. Han sido muchos los lectores que me han escrito interesándose por la eliminación de Safe Harbor, y a todos los he emplazado a un artículo resumen de la situación. Aquí está.

Antecedentes

Safe Harbor o Puerto Seguro, no es otra cosa que como se conoce a la Directiva Europea (95/46/CE) por la que se establecen una serie de requisitos mínimos y garantías en materia de transferencias internacionales de datos. De manera qué, si una empresa de gestión de datos americana (Google o MailGhimp por ejemplo), cumplía esos parámetros, se consideraba una transferencia de datos que no necesitaba una autorización expresa de la Agencia de Protección de datos, ya que se asimilaba a un tratamiento de datos intracomunitario.

Esas aplicaciones o empresas en las que alojamos y gestionamos nuestros datos, son, a efectos de la Ley Orgánica de Protección de Datos, consideradas como ENCARGADOS DEL TRATAMIENTO DE DATOS.

Hasta ahora, bastaba con especificarlo así en nuestro notificación de inicio de tratamiento de datos a la AGPD.

Todos éramos muy felices, hasta que apareció Snowden, y nos contó toda la verdad. Al menos parte. Ya que éste desveló cómo determinadas empresas no cumplían con esos parámetros establecidos, permitiendo el espionaje de los datos alojados en sus servidores, como Facebook.

Fue precisamente a raíz de esto, cuando un consultor tecnológico denunció la situación y consiguió demostrar que datos de Facebook se utilizaban para el espionaje. Su caso llegó hasta el Tribunal de Justicia de la Unión Europea, el cual le ha dado la razón y por sentencia de 6 de octubre de este mismo año ha dejado Safe Harbor en entredicho y prácticamente inaplicable.

¿Y ahora qué?

La desconfianza generada por esos operadores de datos, ha hecho el TJUE no considere justificadas esas transferencias en base al acuerdo del año 2000, en la medida en que los poderes judiciales y políticos tienen acceso a los datos que gestionan dichas empresas.

Aunque la sentencia de 6 de octubre no declara del todo ilegal este acuerdo, sí que abre la veda para que las autoridades nacionales de cada miembro de la Unión Europea establezca si Safe Harbor es suficiente o no. Y la Agencia Española de Protección de Datos ha optado por la segunda.

Para ello ha dado de plazo hasta el 29 de enero de 2016, para restablecer las negociaciones y firmar un Safe Harbor II, y que la sangre no llegue al río. En caso contrario, empezarán a caer sanciones a las empresas. Por ello la Agencia Española de Protección de Datos está enviando comunicaciones a las empresas para que empiecen a regularizar su situación de acuerdo con la nueva situación. Para que si no se llegase al acuerdo y acabamos sancionados, nos puedan contestar con un elegante: “Te lo dije.”

Avanzan las negociaciones

Como decía al principio, he querido ser prudente y no lanzarme a escribir artículos y alarmar a mis clientes, como otras empresas han hecho para intentar sacar tajada de la situación. Y en ello me mantengo.

Siendo consecuente dudo que las grandes multinacionales que gestionan datos dejen perder un trozo del pastel tan jugoso como es Europa, y van a presionar para que el Safe Harbor II sea una realidad. De hecho la prensa cada vez se hace más eco del avance de las negociaciones.

Si fuera así, antes del 29 de enero, en principio, no habría que hacer ningún trámite por parte de las presas que usan esos servicios con sede americana la mayoría.

Aún así, esa es solo mi opinión.

Ni qué decir tiene,  no se trata de una mala noticia. Diría que al contrario. Puesto que si bien es molesta para las empresas que ahora deban adaptarse y empezar a migrar sus datos o solicitar autorización a la AGPD. No es menos cierto de que es positivo que los tribunales dejen de mirar para otro lado en materia de tratamiento de datos, y empiecen a valorar (algo más que monetariamente) los datos personales de los usuarios.

Hasta ahora los grandes operadores de internet han crecido a medida que crecían sus usuarios, que facilitaban sus datos a cambio de una cuenta gratuita. Sin valorar que en esos datos que facilitamos está toda nuestra privacidad. Quizás con este toque de atención, empiecen a considerar que la venta de datos es también la venta de privacidad, si bien los primeros pueden ser cuantificados monetariamente, la segunda tiene un valor incalculable.

¿Me afecta?

Desde el punto del tratamiento de datos, casi todas las empresas utilizamos algún soporte online para almacenar nuestros datos, ya sea un servidor de correo o un gestor de email. 

Especialmente, muchos lectores de esta web que se dedican al mail marketing deberán revisar qué gestores utilizan y dónde tienen sus servidores.

Como usuario o titular de datos, lo cierto es que cuando abres una cuenta en cualquiera de esas empresas, casi siempre gratuitas, estás aceptando que traten tus datos como les venga bien. Esa inseguridad no es nueva, y no va a cambiar en exceso, al contrario, puede que sea un estímulo para que la protección de datos empiece a ser una realidad y no una ficción legal con tantos resquicios.

Si estás suscrito a una lista de newsletter, lo suyo es que el titular de la misma haga los trámites, si no lo hace, siempre quedarán a salvo tus derechos de Acceso, Rectificación, Cancelación u Oposición, dirigiéndote a cualquier dirección que tenga la empresa, o usando el botón al pie de página de los correos de “Dar de baja”.

Soluciones

Pues ahora las soluciones que quedan, para el caso en que no se rubrique en el plazo estimado el nuevo acuerdo son:

  • Regularizar la situación manteniendo al gestor de datos: O lo que es lo mismo, firmando un contrato con el encargado del tratamiento y comunicándolo debidamente a la AGPD. Mailchimp, por ejemplo, ha preparado un formulario a tal efecto, el mismo hace las veces de acuerdo entre las partes y que hay que remitir a la AGPD para su aprobación. Es decir, que enviado el comunicado, tendremos que esperar a que la Agencia lo apruebe y acepte la modificación.

Ni qué decir tiene, que hablamos de un proceso lento y que no acaba de responder a las necesidades de empresas que no se dedican a la gestión de datos. Hablamos de comunes mortales, como tú y como yo, que tenemos una web y/o una empresa que manejamos los datos de nuestros clientes con el único fin de poder prestar nuestros servicios. Con un fichero de clientes y proveedores y otro para la newsletter.

  • Traernos nuestras listas de correo a empresas de gestión de datos que tengan sus servidores en la Unión Europea. MailChimp o Dropbox no lo son todo, existen empresas que prestan servicios similares pero con sede Europea. De hecho no es de extrañar que muchas de estas empresas ya han empezado a plantear colocar servidores en sede europea para no quedarse fuera de juego.

 

En cualquier caso, se abre el turno de palabra, así que os invito a que comentéis vuestra experiencia al respecto y solucionar las dudas que surjan.

2 thoughts on “Safe Harbor no es una película de Ben Affleck

  1. Hola Rosario, investigando este problema con Mailchimp (lo sé, un poco tarde…) he llegado aquí. tengo una pregunta: ¿realmente es suficiente con rellenar este formulario? ¿Cómo enviamos esta comunicación? También he leído que la AEPD está declinando muchas solicitudes, por tener los contratos en inglés (viva el siglo XXI). En ese caso, ¿qué podemos hacer?

    Muchas gracias por tu artículo 😉

    1. Hola Lara, encantada de saludarte.
      La sentencia del 6 de octubre ponía la cosa tan negra, que estaba claro que no iba a llegar a aplicarse.
      Por eso ha llegado un nuevo acuerdo, que dejará la situación como estaba para los usuarios, reforzará las obligaciones del gestor de emails, pero el usuario podrá seguir operando con libertad.
      La AGPD no está preparada para responder en tiempo y forma a todas las demandas de transferencia internacional que ha habido (si tarda más de un mes en registrar un fichero de nivel básico, imagina un trámite más complejo…).
      Yo avisé a mis clientes por si alguno quería hacer algo al respecto, aún así mi opinión es que la sangre no llegaría al río, y así ha sido. Ahora nos queda ver en qué términos se aplica y como afectará al usuario.
      Estaremos atentos.

      Gracias por escribir :)

Deja un comentario

Tu dirección de correo electrónico no será publicada.