Safe Harbor no es una película de Ben Affleck

rosario-rossi-safe-harbor

Si eres asiduo de los blogs de nuevas tecnologías, estarás al tanto de la anulación del Safe Harbor y probablemente hayas leído todo lo legible e ilegible sobre el tema. Tanto si es así, como si no, deberías seguir leyendo, ya que no todo es tan negro ni todos los que trabajamos con protección de datos nos aprovechamos del alarmismo creado.

Para aquellos que ya lleváis más de un mes escuchando hablar del tema, no pretendo aburrir y seguir diciendo todo lo dicho. Si he escrito ahora y no antes, es porque no he querido ser alarmista y esperar un tiempo prudencial para hablar del tema, especialmente para no asustar a mis clientes.

Sigue leyendo

Pero entre los artículos alarmistas y aquellos que han empezado a recibir las notificaciones de la Agencia Española de Protección de Datos, el pánico está servido. Han sido muchos los lectores que me han escrito interesándose por la eliminación de Safe Harbor, y a todos los he emplazado a un artículo resumen de la situación. Aquí está.

Antecedentes

Safe Harbor o Puerto Seguro, no es otra cosa que como se conoce a la Directiva Europea (95/46/CE) por la que se establecen una serie de requisitos mínimos y garantías en materia de transferencias internacionales de datos. De manera qué, si una empresa de gestión de datos americana (Google o MailGhimp por ejemplo), cumplía esos parámetros, se consideraba una transferencia de datos que no necesitaba una autorización expresa de la Agencia de Protección de datos, ya que se asimilaba a un tratamiento de datos intracomunitario.

Esas aplicaciones o empresas en las que alojamos y gestionamos nuestros datos, son, a efectos de la Ley Orgánica de Protección de Datos, consideradas como ENCARGADOS DEL TRATAMIENTO DE DATOS.

Hasta ahora, bastaba con especificarlo así en nuestro notificación de inicio de tratamiento de datos a la AGPD.

Todos éramos muy felices, hasta que apareció Snowden, y nos contó toda la verdad. Al menos parte. Ya que éste desveló cómo determinadas empresas no cumplían con esos parámetros establecidos, permitiendo el espionaje de los datos alojados en sus servidores, como Facebook.

Fue precisamente a raíz de esto, cuando un consultor tecnológico denunció la situación y consiguió demostrar que datos de Facebook se utilizaban para el espionaje. Su caso llegó hasta el Tribunal de Justicia de la Unión Europea, el cual le ha dado la razón y por sentencia de 6 de octubre de este mismo año ha dejado Safe Harbor en entredicho y prácticamente inaplicable.

¿Y ahora qué?

La desconfianza generada por esos operadores de datos, ha hecho el TJUE no considere justificadas esas transferencias en base al acuerdo del año 2000, en la medida en que los poderes judiciales y políticos tienen acceso a los datos que gestionan dichas empresas.

Aunque la sentencia de 6 de octubre no declara del todo ilegal este acuerdo, sí que abre la veda para que las autoridades nacionales de cada miembro de la Unión Europea establezca si Safe Harbor es suficiente o no. Y la Agencia Española de Protección de Datos ha optado por la segunda.

Para ello ha dado de plazo hasta el 29 de enero de 2016, para restablecer las negociaciones y firmar un Safe Harbor II, y que la sangre no llegue al río. En caso contrario, empezarán a caer sanciones a las empresas. Por ello la Agencia Española de Protección de Datos está enviando comunicaciones a las empresas para que empiecen a regularizar su situación de acuerdo con la nueva situación. Para que si no se llegase al acuerdo y acabamos sancionados, nos puedan contestar con un elegante: “Te lo dije.”

Avanzan las negociaciones

Como decía al principio, he querido ser prudente y no lanzarme a escribir artículos y alarmar a mis clientes, como otras empresas han hecho para intentar sacar tajada de la situación. Y en ello me mantengo.

Siendo consecuente dudo que las grandes multinacionales que gestionan datos dejen perder un trozo del pastel tan jugoso como es Europa, y van a presionar para que el Safe Harbor II sea una realidad. De hecho la prensa cada vez se hace más eco del avance de las negociaciones.

Si fuera así, antes del 29 de enero, en principio, no habría que hacer ningún trámite por parte de las presas que usan esos servicios con sede americana la mayoría.

Aún así, esa es solo mi opinión.

Ni qué decir tiene,  no se trata de una mala noticia. Diría que al contrario. Puesto que si bien es molesta para las empresas que ahora deban adaptarse y empezar a migrar sus datos o solicitar autorización a la AGPD. No es menos cierto de que es positivo que los tribunales dejen de mirar para otro lado en materia de tratamiento de datos, y empiecen a valorar (algo más que monetariamente) los datos personales de los usuarios.

Hasta ahora los grandes operadores de internet han crecido a medida que crecían sus usuarios, que facilitaban sus datos a cambio de una cuenta gratuita. Sin valorar que en esos datos que facilitamos está toda nuestra privacidad. Quizás con este toque de atención, empiecen a considerar que la venta de datos es también la venta de privacidad, si bien los primeros pueden ser cuantificados monetariamente, la segunda tiene un valor incalculable.

¿Me afecta?

Desde el punto del tratamiento de datos, casi todas las empresas utilizamos algún soporte online para almacenar nuestros datos, ya sea un servidor de correo o un gestor de email. 

Especialmente, muchos lectores de esta web que se dedican al mail marketing deberán revisar qué gestores utilizan y dónde tienen sus servidores.

Como usuario o titular de datos, lo cierto es que cuando abres una cuenta en cualquiera de esas empresas, casi siempre gratuitas, estás aceptando que traten tus datos como les venga bien. Esa inseguridad no es nueva, y no va a cambiar en exceso, al contrario, puede que sea un estímulo para que la protección de datos empiece a ser una realidad y no una ficción legal con tantos resquicios.

Si estás suscrito a una lista de newsletter, lo suyo es que el titular de la misma haga los trámites, si no lo hace, siempre quedarán a salvo tus derechos de Acceso, Rectificación, Cancelación u Oposición, dirigiéndote a cualquier dirección que tenga la empresa, o usando el botón al pie de página de los correos de “Dar de baja”.

Soluciones

Pues ahora las soluciones que quedan, para el caso en que no se rubrique en el plazo estimado el nuevo acuerdo son:

  • Regularizar la situación manteniendo al gestor de datos: O lo que es lo mismo, firmando un contrato con el encargado del tratamiento y comunicándolo debidamente a la AGPD. Mailchimp, por ejemplo, ha preparado un formulario a tal efecto, el mismo hace las veces de acuerdo entre las partes y que hay que remitir a la AGPD para su aprobación. Es decir, que enviado el comunicado, tendremos que esperar a que la Agencia lo apruebe y acepte la modificación.

Ni qué decir tiene, que hablamos de un proceso lento y que no acaba de responder a las necesidades de empresas que no se dedican a la gestión de datos. Hablamos de comunes mortales, como tú y como yo, que tenemos una web y/o una empresa que manejamos los datos de nuestros clientes con el único fin de poder prestar nuestros servicios. Con un fichero de clientes y proveedores y otro para la newsletter.

  • Traernos nuestras listas de correo a empresas de gestión de datos que tengan sus servidores en la Unión Europea. MailChimp o Dropbox no lo son todo, existen empresas que prestan servicios similares pero con sede Europea. De hecho no es de extrañar que muchas de estas empresas ya han empezado a plantear colocar servidores en sede europea para no quedarse fuera de juego.

 

En cualquier caso, se abre el turno de palabra, así que os invito a que comentéis vuestra experiencia al respecto y solucionar las dudas que surjan.

MailChimp y privacidad

 

rosariorossi (1)

Tener una gran lista de suscriptores a nuestra newsletter es un gran reto. No solo para los blogger, sino para cualquier empresa que ofrezca sus servicios en Internet. Si en la calle repartir publicidad es tan fácil como echar folletos de buzón en buzón, en Internet la única forma de hacerlo legalmente es con una lista en que el destinatario haya prestado su consentimiento a recibir esa publicidad de manera expresa.

Sigue leyendo

La diferencia entre el suscriptor y el destinatario de otro tipo de publicidad, es que expresamente ha solicitado recibir esa información, por eso su valor publicitario es mayor, ya que las ofertas que se hagan a través de una newsletter van directamente a clientes potenciales, lo cual supone un gran ahorro económico y de energías.

Tener una lista considerable para enviar Newsletter no es fácil, pero cumplir con la Ley Orgánica de Protección de Datos sí, aunque muchos blogger y empresas no se den por aludidos. Partimos del hecho de que un nombre y una dirección de email ya son datos de carácter personal, y por tanto requieren de la aplicación de los requisitos y obligaciones que la ley exige para cualquier tratamiento de datos y que ya vimos en esta entrada sobre la adaptación a la ley de protección de datos.

Para realizar una campaña de manera sencilla, lo más habitual es recurrir a un gestor de correos, la mayoría de ellos con  sede internacional, por lo que deberemos estar atentos a la regulación sobre transferencias internacionales de datos, que entre otras cosas requieren de una autorización de la Agencia Española de Protección de datos.

Evidentemente, tener que cumplir con esos requisitos haría casi imposible mantener una lista de correo. Por ello, a nivel internacional se han creado herramientas para simplificar el proceso y hacerlo más accesible. La solución es SAFE HARBOR o PUERTO SEGURO, se trata de una serie de principios que se adaptan a la normativa europea, y que se utiliza para simplificar las transferencias entre países con distintas legislaciones. Así las empresas americanas adheridas a Safe Harbor establecen unas garantías mínimas, y por ello están exentos de autorización de la Agencia. Veámos en que se traduce esto.

Para ver  cómo se cumple con la ley, vamos a tomar el ejemplo MailChimp, ya que es el gestor más fácil de utilizar y también el más utilizado, y que precisamente es una de las empresas adheridas al sistema SAFE HARBOR.

 

REQUISITOS PARA CREAR UNA LISTA DE CORREO

1.- NOTIFICAR FICHERO

Como ya hemos indicado, requiere de la inscripción de un fichero ante la Agencia de Protección de Datos. Para ello accederemos al Formulario Nota establecido a tal fin.

Si es nuestra lista de correos, pondremos nuestros datos en el apartado referente a la responsabilidad del fichero, pero al llegar al apartado 4.- Encargado del tratamiento los datos que deberemos facilitar serán los de MAILCHIMP, veámos como:

FORMULARIONOTA4

 

(Especifica que es Estados Unidos porque si no sitúa el C.P. 30318 de Atlanta en un pueblo de Murcia. En serio)

Al rellenar este apartado, el propio formulario nos advierte de que deberemos rellenar el apartado 10.- Transferencias Internacionales, que por lo general no se rellena, y que está previsto para estos supuestos:

ficheronota10b

 Una vez enviemos el formulario, en un par de semanas la AGPD nos remitirá la información correspondiente y ya habremos cumplido el primer requisito de inscripción de ficheros. Siempre y cuando estemos ante un gestor adherido a Safe Harbor, si no es así, necesitaremos una autorización del Director de la AGPD para poder llevar a cabo esa gestión. Seguimos.

2.- DEBER DE INFORMAR

Deberemos informar en nuestra web sobre la recogida, tanto del fin de esos datos (en este caso para comunicaciones comerciales), indicar si se van a ceder esos datos y facilitar los datos en los que los titulares de los datos pueden ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Para ello lo más recomendable es establecer una POLÍTICA DE PRIVACIDAD, bien en una página visible y accesible o bien incorporarlo a nuestro aviso legal como un apartado más. Para el caso de las newsletter, a esa política de privacidad deberemos incorporar una cláusula informando de que esos datos van a ser gestionados por MailChimp:

SUSCRIPTORES NEWSLETTER: Los datos que usted facilite para suscripción a la newsletter de (su web) , serán almacenados en el fichero “SUSCRIPTORES NEWSLETTER”, cuya finalidad es mantenerle informado de nuestras ofertas y facilitarle contenido relacionado con los productos y servicios que prestamos, inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos. Los datos serán almacenados en el datacenter de MailChimp en Estados Unidos (EE.UU), el cual actúa como encargado de tratamiento en la recogida y almacenamiento de sus datos, hemos escogido a MailChimp por estar adherido a los principios de “Puerto Seguro” (Safe Harbor), lo que se traduce en que está obligado a cumplir principios similares a los europeos en materia de protección de datos,  si desea más información al respecto, le facilitamos la política de privacidad de MailChimp:  http://mailchimp.com/legal/privacy/

3.- CONSENTIMIENTO

Para cada dato que recopilemos necesitamos el consentimiento de su legítimo titular. Por ello en cada formulario por el que recopilemos datos lo más recomendable es informar directamente al pie de ese tratamiento de datos o bien establecer un botón de bloqueo, el clásico he leído y acepto que redirige a la política de privacidad, y que si no se marca no deja enviar los datos.

MailChimp, además tiene un sistema de confirmación extra, por lo que el consentimiento a la suscripción queda directamente recogido por la plataforma. Y permite ejercitar los derechos ARCO de manera automática y muy sencilla, ya que sus email contienen un botón para darse de baja de las suscripciones, funciona de manera automática y garantiza que el usuario pueda ejercer su derecho de Cancelación conforme a la LOPD.

 

MAILCHIMP Y LA PRIVACIDAD

Lo bueno de esta compañía es que ofrece la garantía de que no va a ceder esos datos a terceros, y se adapta a la normativa europea (o eso dice).

Ellos mismos avisan de que no se trata de un servicio de mensajería confidencial, sino que aleatoriamente revisan los contenidos. Tal es así que su premisa es “No enviar nunca nada en un correo electrónico que no pondrías en una postal”.

Si quieres más información al respecto, aquí tienes su política de privacidad en un perfecto inglés