Safe Harbor y LOPD: ¿Cómo seguir trabajando con Mailchimp y Dropbox? (Infoautónomos – Eleconomista.es)

 

El panorama de la LOPD en España ha sufrido un importante cambio desde una resolución de octubre del Tribunal de Justicia Europeo que dificulta mucho la manera de trabajar con empresas que almacenen datos de ciudadanos europeos en servidores de Estados Unidos, como por ejemplo Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre otras.

Aunque la anulación de Safe Harbor es una avance en la protección de los datos personales, es una mala noticia para todos esos autónomos y pymes que utilizamos estas herramientas de manera habitual y que ahora vamos a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a cambiar de proveedor. Analizamos en este post este cambio en materia de LOPD, lo que supone y qué puedes hacer.

Resulta irónico que fuese precisamente en Estados Unidos, donde se fundaron las bases de lo que hoy conocemos como Safe Harbor. Fue en 1980, cuando dos abogados americanos sentaron las bases de la protección de la privacidad del usuario a raíz de un artículo titulado “The Right to Privacy”.

 

En apenas 20 años, EE.UU. ha pasado de ser uno de los pioneros en cuanto a la protección al derecho de datos personales a ser lo todo lo contrario hoy en día

 

Supieron ver antes que nadie, el impacto que podrían tener las nuevas tecnologías sobre la sociedad, pero fueron también los primeros en deshonrar la privacidad personal del usuario. Bajo este contexto se creó una regulación Europea que autorizaba a las empresas no europeas la transferencia de datos personales a un tercer país, siempre y cuando se diesen unas garantías mínimas en cuanto a la protección de datos personales.

 

La demanda a Facebook de un activista austríaco llamado Max Schrems sobre la transferencia de sus datos personales y el uso de los mismos fue el detonante de la caída de la ley Safe Harbor. Todo estaba perdido para el austríaco, o eso parecía al principio, pues la primera demanda cayó en saco roto. Pero Schrems llevó el caso ante el Tribunal de Justicia Europeo, y esto supuso la anulación del Safe Harbor.

 

Anulación del Safe Harbor y sus consecuencias

 

El pasado 9 de octubre, el Tribunal de Justicia de la Unión Europea anuló la regulación de Safe Harbor, pues se considera que Estados Unidos no está cumpliendo con la normativa de protección de datos.

Al tratarse de una sentencia europea, todos los países miembro deben aplicar la norma y modificar la legislación existente.

 

En España, la Agencia Española de Protección de Datos (AEPD), ha marcado como fecha tope para adaptarse el próximo 29 de enero de 2016

 

Y es que para entonces las empresas españolas que usen estos servicios en la nube deberán informar sobre la continuidad de las transferencias y su adecuación a la normativa de protección de datos. A pesar de la incertidumbre que genera y el revuelo que esta noticia ha generado, la AGPD en un comunicado ha aclarado que no es su intención de empezar a sancionar a las empresas.

Y es que no se ha prohibido el uso de servicios con sede en Estados Unidos, eso sería una locura, además la agencia en ningún caso ha pedido a las empresas españolas que dejen de usar los servicios. Sus acciones no están orientadas hacia la prohibición sino a informar a los responsables para que exijan a su proveedor de servicios una respuesta adaptada a la sentencia del TJUE.

 

¿Cómo afecta a mi empresa?

Como ya sabréis, son muchas las empresas que tienen su sede y data center en Estados Unidos, eso no quiere decir que las empresas españolas no puedan usar sus servicios ni mucho menos.

La disolución del Safe Harbor afecta a:

  • Las plataformas americanas que almacenan información.
  • A los que contraten o usen estas plataformas para el intercambio de datos.

Es importante recordar que no importa la procedencia de la empresa de servicios sino donde se almacenen los datos de la misma. Para ser más claros, si tu empresa tienen una página web o blog, seguramente cuente con los siguientes servicios:

  1. Alojamiento web
  2. Almacenamiento en la nube
  3. Gestión de email

El uso de estos servicios no está perseguido por la AEPD, es decir; si tu empresa utiliza Google Apps y Dropbox para compartir archivos propios sin intercambiar datos de usuarios, no tienes de qué preocuparte.

 

Pasos para seguir trabajando con empresas de servicios americanas

 

El problema está cuando trabajas con empresas de servicios americanas y existe un intercambio de datos de usuario por ambas partes. Actualmente para seguir utilizando estas herramientas debes cumplir con los siguientes requisitos:

  • Puedes acogerte a alguna de las excepciones incluidas en el artículo de transferencia internacional de datos.
  • Formalizar un contrato entre la empresa proveedora de servicios y la tuya, incluyendo en el mismo las cláusulas de la AEPD. Muchas empresas como Mailchimp ya cuentan un contrato que puedes descargarte desde su página web.
  • Asegurarte que las empresas tengan sus datacenters en Europa.

Nuestra recomendación: Lo más viable es asegurarte que las empresas con las que trabajas, aunque sean americanas tengan sus datacenters en Europa. De no ser así, tienes alternativas a los proveedores americanos: si quieres evitar cualquier posible problema, lo mejor será que empieces a trabajar con empresas de servicios europeas.

 

Bien… ¿y ahora qué?

Esta es la gran duda que nos acecha, como hemos dicho es cierto que a corto plazo el fallo del TJEU puede afectar negativamente a la productividad de nuestra empresa, pues tendremos que cambiar de herramientas o bien asegurarnos que cumplen con la normativa.

 

Pero a medio y largo plazo es de esperar que sea ventajoso, pues no sólo protegerá mejor los datos personales de nuestros usuarios y clientes, sino que supondrá un impulso al sector de internet europeo, que le quitará una porción de mercado a las empresas americanas (que por cierto no tributan aquí).

Además conllevará la apertura de nuevas sedes de almacenamiento en Europa , ya que las empresas del nuevo continente tendrán que acatar las leyes de datos europeas o bien abrir nuevos datacenters en Europa, por lo que ambas medidas son positivas tanto para los usuarios como empresas europeas.

 

Artículo de Infoautónomos (Eleconomista.es)