Safe Harbor no es una película de Ben Affleck

rosario-rossi-safe-harbor

Si eres asiduo de los blogs de nuevas tecnologías, estarás al tanto de la anulación del Safe Harbor y probablemente hayas leído todo lo legible e ilegible sobre el tema. Tanto si es así, como si no, deberías seguir leyendo, ya que no todo es tan negro ni todos los que trabajamos con protección de datos nos aprovechamos del alarmismo creado.

Para aquellos que ya lleváis más de un mes escuchando hablar del tema, no pretendo aburrir y seguir diciendo todo lo dicho. Si he escrito ahora y no antes, es porque no he querido ser alarmista y esperar un tiempo prudencial para hablar del tema, especialmente para no asustar a mis clientes.

Sigue leyendo

Pero entre los artículos alarmistas y aquellos que han empezado a recibir las notificaciones de la Agencia Española de Protección de Datos, el pánico está servido. Han sido muchos los lectores que me han escrito interesándose por la eliminación de Safe Harbor, y a todos los he emplazado a un artículo resumen de la situación. Aquí está.

Antecedentes

Safe Harbor o Puerto Seguro, no es otra cosa que como se conoce a la Directiva Europea (95/46/CE) por la que se establecen una serie de requisitos mínimos y garantías en materia de transferencias internacionales de datos. De manera qué, si una empresa de gestión de datos americana (Google o MailGhimp por ejemplo), cumplía esos parámetros, se consideraba una transferencia de datos que no necesitaba una autorización expresa de la Agencia de Protección de datos, ya que se asimilaba a un tratamiento de datos intracomunitario.

Esas aplicaciones o empresas en las que alojamos y gestionamos nuestros datos, son, a efectos de la Ley Orgánica de Protección de Datos, consideradas como ENCARGADOS DEL TRATAMIENTO DE DATOS.

Hasta ahora, bastaba con especificarlo así en nuestro notificación de inicio de tratamiento de datos a la AGPD.

Todos éramos muy felices, hasta que apareció Snowden, y nos contó toda la verdad. Al menos parte. Ya que éste desveló cómo determinadas empresas no cumplían con esos parámetros establecidos, permitiendo el espionaje de los datos alojados en sus servidores, como Facebook.

Fue precisamente a raíz de esto, cuando un consultor tecnológico denunció la situación y consiguió demostrar que datos de Facebook se utilizaban para el espionaje. Su caso llegó hasta el Tribunal de Justicia de la Unión Europea, el cual le ha dado la razón y por sentencia de 6 de octubre de este mismo año ha dejado Safe Harbor en entredicho y prácticamente inaplicable.

¿Y ahora qué?

La desconfianza generada por esos operadores de datos, ha hecho el TJUE no considere justificadas esas transferencias en base al acuerdo del año 2000, en la medida en que los poderes judiciales y políticos tienen acceso a los datos que gestionan dichas empresas.

Aunque la sentencia de 6 de octubre no declara del todo ilegal este acuerdo, sí que abre la veda para que las autoridades nacionales de cada miembro de la Unión Europea establezca si Safe Harbor es suficiente o no. Y la Agencia Española de Protección de Datos ha optado por la segunda.

Para ello ha dado de plazo hasta el 29 de enero de 2016, para restablecer las negociaciones y firmar un Safe Harbor II, y que la sangre no llegue al río. En caso contrario, empezarán a caer sanciones a las empresas. Por ello la Agencia Española de Protección de Datos está enviando comunicaciones a las empresas para que empiecen a regularizar su situación de acuerdo con la nueva situación. Para que si no se llegase al acuerdo y acabamos sancionados, nos puedan contestar con un elegante: “Te lo dije.”

Avanzan las negociaciones

Como decía al principio, he querido ser prudente y no lanzarme a escribir artículos y alarmar a mis clientes, como otras empresas han hecho para intentar sacar tajada de la situación. Y en ello me mantengo.

Siendo consecuente dudo que las grandes multinacionales que gestionan datos dejen perder un trozo del pastel tan jugoso como es Europa, y van a presionar para que el Safe Harbor II sea una realidad. De hecho la prensa cada vez se hace más eco del avance de las negociaciones.

Si fuera así, antes del 29 de enero, en principio, no habría que hacer ningún trámite por parte de las presas que usan esos servicios con sede americana la mayoría.

Aún así, esa es solo mi opinión.

Ni qué decir tiene,  no se trata de una mala noticia. Diría que al contrario. Puesto que si bien es molesta para las empresas que ahora deban adaptarse y empezar a migrar sus datos o solicitar autorización a la AGPD. No es menos cierto de que es positivo que los tribunales dejen de mirar para otro lado en materia de tratamiento de datos, y empiecen a valorar (algo más que monetariamente) los datos personales de los usuarios.

Hasta ahora los grandes operadores de internet han crecido a medida que crecían sus usuarios, que facilitaban sus datos a cambio de una cuenta gratuita. Sin valorar que en esos datos que facilitamos está toda nuestra privacidad. Quizás con este toque de atención, empiecen a considerar que la venta de datos es también la venta de privacidad, si bien los primeros pueden ser cuantificados monetariamente, la segunda tiene un valor incalculable.

¿Me afecta?

Desde el punto del tratamiento de datos, casi todas las empresas utilizamos algún soporte online para almacenar nuestros datos, ya sea un servidor de correo o un gestor de email. 

Especialmente, muchos lectores de esta web que se dedican al mail marketing deberán revisar qué gestores utilizan y dónde tienen sus servidores.

Como usuario o titular de datos, lo cierto es que cuando abres una cuenta en cualquiera de esas empresas, casi siempre gratuitas, estás aceptando que traten tus datos como les venga bien. Esa inseguridad no es nueva, y no va a cambiar en exceso, al contrario, puede que sea un estímulo para que la protección de datos empiece a ser una realidad y no una ficción legal con tantos resquicios.

Si estás suscrito a una lista de newsletter, lo suyo es que el titular de la misma haga los trámites, si no lo hace, siempre quedarán a salvo tus derechos de Acceso, Rectificación, Cancelación u Oposición, dirigiéndote a cualquier dirección que tenga la empresa, o usando el botón al pie de página de los correos de “Dar de baja”.

Soluciones

Pues ahora las soluciones que quedan, para el caso en que no se rubrique en el plazo estimado el nuevo acuerdo son:

  • Regularizar la situación manteniendo al gestor de datos: O lo que es lo mismo, firmando un contrato con el encargado del tratamiento y comunicándolo debidamente a la AGPD. Mailchimp, por ejemplo, ha preparado un formulario a tal efecto, el mismo hace las veces de acuerdo entre las partes y que hay que remitir a la AGPD para su aprobación. Es decir, que enviado el comunicado, tendremos que esperar a que la Agencia lo apruebe y acepte la modificación.

Ni qué decir tiene, que hablamos de un proceso lento y que no acaba de responder a las necesidades de empresas que no se dedican a la gestión de datos. Hablamos de comunes mortales, como tú y como yo, que tenemos una web y/o una empresa que manejamos los datos de nuestros clientes con el único fin de poder prestar nuestros servicios. Con un fichero de clientes y proveedores y otro para la newsletter.

  • Traernos nuestras listas de correo a empresas de gestión de datos que tengan sus servidores en la Unión Europea. MailChimp o Dropbox no lo son todo, existen empresas que prestan servicios similares pero con sede Europea. De hecho no es de extrañar que muchas de estas empresas ya han empezado a plantear colocar servidores en sede europea para no quedarse fuera de juego.

 

En cualquier caso, se abre el turno de palabra, así que os invito a que comentéis vuestra experiencia al respecto y solucionar las dudas que surjan.

Mándame un e-mail que te abriré mi buzón (si no eres SPAM)

Llevaba tiempo con un artículo en la cabeza (figuradamente), ya que malgasto un par de minutos cada día en limpiar la bandeja de entrada de mi correo de spam.  Muchos de esos correos,  procedentes de empresas o páginas a las que jamás me he suscrito ni he mostrado el menor interés en recibir su información.

Por eso, me he preguntado si el resto de la humanidad convive con esta pesadilla, y como me temo que sí, voy a contaros las posibles soluciones para los remitentes y los receptores.

Lo primero que debemos tener en cuenta es que un email no es como un correo postal o un panfleto, algo que muchos confunden,  y envían de manera masiva sin realizar un filtro legal,  y moral, buzoneo  puro y duro, pero electrónico.  Es por eso que los correos electrónicos requieren de unas consideraciones especiales para limitar su uso comercial, dada su facilidad de envío, reproducción y bajo coste.

Así que voy a  resumir los requisitos legales de los emails comerciales, detalles que muchas empresas están pasando por alto. Y que por la proliferación de negocios online, es cada vez  más habitual que muchas campañas publicitarias se realicen íntegramente en la red, y por tanto conocer y cumplir la normativa correspondiente es primordial. Sigue leyendo

Antes de seguir, como ya sabéis de mis inquietudes, os voy a dejar un dato curioso, y es que la palabra SPAM, es el acrónimo de “Spice Ham”, una carne enlatada muy popular en Reino Unido. Y empezó a utilizarse para referirse a estos correos “enlatados” por este sketch de los Monty Python. Los correos spam son a los correos lo que la comida enlatada a la comida.

 

REQUISITOS LEGALES

Esta materia se regula en la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de Comercio Electrónico, que fue modificada por el Real decreto ley 13/2012 y por la nueva Ley General de telecomunicaciones, y la Ley Orgánica de Protección de datos.

Básicamente los requisitos que debemos cumplir son los siguientes:

 

–          Contratar a Martina Klein (opcional). La ley no dice nada al respecto pero debe ser muy eficaz.

 

–          PROTECCIÓN DE DATOS: Que el destinatario haya dado su consentimiento a la recepción de esos emails, ya sea por suscripción, solicitud… Sólo hay un caso en el que esa autorización no se requiere, y es cuando se trate de: Clientes y usuarios, para comunicaciones de productos propios y que se trate del tipo de productos o servicios que ya hayan podido contratar. Es decir, necesitamos que nos hayan facilitado conscientemente esa dirección, como es suscribiéndose voluntariamente a una newsletter o hayan contratado ya nuestros servicios o productos. SI NO ES ASÍ, NO.

Esto va directamente relacionado con la normativa de protección de datos (art.5.1LOPD), lo que quiere decir que el envío de estos emails a personas físicas supone un tratamiento de datos. Y ,como ya dijimos en su día, es preciso que antes de tratar los datos personales de una persona física, y humana, se necesita un consentimiento expreso del titular.

Si la campaña de mailing la va a realizar un tercero (empresas de marketing, publicidad, comunicación…), necesitaremos suscribir el oportuno contrato que garantice la legalidad de la cesión de datos de nuestros clientes y usuarios

También hay que tener en cuenta, que si se realiza la campaña desde una plataforma dedicada a tal fin (tipo MailChimp), hay que leer atentamente sus condiciones y si cumple con la normativa vigente, con especial atención a aquellas con sede internacional y normativa aplicable distinta, ya  que a efectos de la LOPD puede considerarse una TRANSFERENCIA INTERNACIONAL DE DATOS, y  para ello la ley establece una serie de requisitos muy estrictos.

Si queréis saber más sobre cómo adaptarse a la Ley Orgánica de Protección de Datos, AQUÍ tenéis una pequeña introducción

 

–          En cuanto al CONTENIDO DEL EMAIL que vayamos a enviar, lo primero a tener en cuenta  es que el anunciante  que envía o en nombre de quién se envía tiene que aparecer perfectamente identificado, la denominación social o nombre completo si es persona física.

 

–          El anunciante o emisor tiene que facilitar una dirección o un sistema desde el que revocar el consentimiento que hemos dicho antes, para no continuar recibiendo emails. Que bien puede ser una dirección de correo electrónico o un enlace que permita la solicitud de baja.

 

–          Hasta hace menos de un mes, que se aprobó la nueva Ley General de Telecomunicaciones (que incluye muchísimas novedades que iremos viendo poco  a poco en la web), era obligatorio que  apareciera al inicio de esa comunicación comercial la palabra “PUBLICIDAD” o la abreviatura “PUBLI”. Ahora  ha desaparecido esa obligación, pero sí se mantiene que se identifique el carácter comercial de la comunicación, y parece que la fórmula más reconocible y práctica más recomendable es que se siga manteniendo la inclusión de “publicidad” como hasta ahora.

 

–          Y por supuesto, indicar al pie del contenido una cláusula informativa referente a protección de datos (ésta deberemos incluirla en todos nuestros correos profesionales) que contenga el nombre del “Fichero” donde se contienen los datos, así como los datos relativos al responsable del tratamiento y una dirección donde ejercer los oportunos derechos relativos a protección de datos. Se suele incluir junto con el sistema de baja de la lista de correo que hemos visto antes.

 

RosarioRossi_LOPD 2

 By Galymzham Abdugalimov for UNPLASH

POSIBLES SANCIONES

Si esto no se cumple, y optamos la vía fácil de adquirir direcciones de correo de manera ilícita o enviar emails sin los requisitos establecidos, aparte de quedar fatal y molestar a los destinatarios, y potenciales clientes, podemos enfrentarnos a cuantiosas sanciones (aquí una resolución contra una empresa por tomar un correo de una página web para enviar publicidad a otra sin su consentimiento, 600€ por la broma )

 

Aunque son cuestiones muy evidentes, lo cierto es que la  mayoría de emails comerciales que recibimos no cumplen con esos requisitos, salvo que se trate de grandes marcas que ya están curadas de espanto y hacen muy sencillo el procedimiento de cancelación.

 

Para realizar una buena campaña de marketing a través del envío de correos, aparte de los requisitos legales, y alguno moral, no está de más que tengas también en cuenta recomendaciones tan sabias como las que da el bueno de Frank Scipion aquí , donde te cuenta como conseguir una buena lista de correo, acorde con la ley, y a la vez fructífera para la posible campaña comercial que vayas a iniciar, así como dotar los correos de un buen contenido atractivo para su destinatario

 

Si por el contrario estás en el lado receptor, y no son bastantes las solicitudes de baja o marcar como spam ese correo indeseado desde la bandeja del proveedor de la cuenta (Gmail, Hotmail, Yahoo..), puedes interponer una reclamación ante la Agencia Española de Protección de Datos, y que ésta a su vez requiera a la empresa  para que cancele los datos e incluso sancione a la misma. Aquí tenéis el formulario de la AGPD para interponer estas reclamaciones.

 

Pues con esto y un bizcocho, os espero la semana que viene con más cosas.