El panorama de la LOPD en España ha sufrido un importante cambio desde una resolución de octubre del Tribunal de Justicia Europeo que dificulta mucho la manera de trabajar con empresas que almacenen datos de ciudadanos europeos en servidores de Estados Unidos, como por ejemplo, Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre otras.
Aunque la anulación de Safe Harbor es una avance en la protección de los datos personales, es una mala noticia para todos esos autónomos y pymes que utilizamos estas herramientas de manera habitual y que ahora vamos a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a cambiar de proveedor. Analizamos en este post este cambio en materia de LOPD, lo que supone y qué puedes hacer.
En el origen, Puerto Seguro (Safe Harbor)
Resulta irónico que fuese precisamente en Estados Unidos, donde se fundaron las bases de lo que hoy conocemos como Safe Harbor. En apenas 20 años, EE.UU. ha pasado de ser uno de los pioneros en cuanto a la protección al derecho de datos personales a ser lo todo lo contrario hoy en día. Fue en 1980, cuando dos abogados americanos sentaron las bases de la protección de la privacidad del usuario a raíz de un artículo titulado “The Right to Privacy”.
Supieron ver antes que nadie, el impacto que podrían tener las nuevas tecnologías sobre la sociedad, pero fueron también los primeros en deshonrar la privacidad personal del usuario. Bajo este contexto se creó una regulación Europea que autorizaba a las empresas no europeas la transferencia de datos personales a un tercer país, siempre y cuando se diesen unas garantías mínimas en cuanto a la protección de datos personales.
Max Schrems lo cambia todo
La demanda a Facebook de un activista austríaco llamado Max Schrems sobre la transferencia de sus datos personales y el uso de los mismos fue el detonante de la caída de la ley Safe Harbor. Todo estaba perdido para el austríaco, o eso parecía al principio, pues la primera demanda cayó en saco roto. Pero Schrems llevó el caso ante el Tribunal de Justicia Europeo, y esto supuso la anulación del Safe Harbor.
Congratulations, @MaxSchrems. You’ve changed the world for the better. http://t.co/HmGpRq5Dgt pic.twitter.com/rTLYHhvmoY
— Edward Snowden (@Snowden) octubre 6, 2015
Anulación del Safe Harbor y sus consecuencias
El pasado 9 de octubre, el Tribunal de Justicia de la Unión Europea anuló la regulación de Safe Harbor, pues se considera que Estados Unidos no está cumpliendo con la normativa de protección de datos.
Al tratarse de una sentencia europea, todos los países miembro deben aplicar la norma y modificar la legislación existente. En España, la Agencia Española de Protección de Datos (AEPD), ha marcado como fecha tope para adaptarse el próximo 29 de enero de 2016.
Y es que para entonces las empresas españolas que usen estos servicios en la nube deberán informar sobre la continuidad de las transferencias y su adecuación a la normativa de protección de datos. A pesar de la incertidumbre que genera y el revuelo que esta noticia ha generado, la agencia en un comunicado ha aclarado que no es su intención de empezar a sancionar a las empresas.
Y es que no se ha prohibido el uso de servicios con sede en Estados Unidos, eso sería una locura, además la agencia en ningún caso ha pedido a las empresas españolas que dejen de usar los servicios. Sus acciones no están orientadas hacia la prohibición sino a informar a los responsables para que exijan a su proveedor de servicios una respuesta adaptada a la sentencia del TJUE.
¿Cómo afecta a mi empresa?
Como ya sabréis, son muchas las empresas que tienen su sede y data center en Estados Unidos, eso no quiere decir que las empresas españolas no puedan usar sus servicios ni mucho menos.
La disolución del Safe Harbor afecta a:
- Las plataformas americanas que almacenan información.
- A los que contraten o usen estas plataformas para el intercambio de datos.
Es importante recordar que no importa la procedencia de la empresa de servicios sino donde se almacenen los datos de la misma. Para ser más claros, si tu empresa tienen una página web o blog, seguramente cuente con los siguientes servicios:
- Alojamiento web
- Almacenamiento en la nube
- Gestión de email
El uso de estos servicios no está perseguido por la AEPD, es decir; si tu empresa utiliza Google Apps y Dropbox para compartir archivos propios sin intercambiar datos de usuarios, no tienes de qué preocuparte.
Pasos para seguir trabajando con empresas de servicios americanas
El problema está cuando trabajas con empresas de servicios americanas y existe un intercambio de datos de usuario por ambas partes. Actualmente para seguir utilizando estas herramientas debes cumplir con los siguientes requisitos:
- Puedes acogerte a alguna de las excepciones incluidas en el artículo de transferencia internacional de datos.
- Formalizar un contrato entre la empresa proveedora de servicios y la tuya, incluyendo en el mismo las cláusulas de la AEPD. Muchas empresas como Mailchimp ya cuentan un contrato que puedes descargarte desde su página web.
- Asegurarte que las empresas tengan sus datacenters en Europa.
Nuestra recomendación: Lo más viable es asegurarte que las empresas con las que trabajas, aunque sean americanas tengan sus datacenters en Europa. De no ser así,
Alternativas a los proveedores americanos
Si quieres evitar cualquier posible problema, lo mejor será que empieces a trabajar con empresas de servicios europeas. En nuestro directorio de proveedores puedes localizar algunos proveedores de hosting y tecnología que te pueden ayudar.
Ahora bien, la triste realidad es que el sector europeo de internet está muy lejos del americano, con servicios peores y sensiblemente más caros a los que ofrecen Mailchimp, Dropbox, Google Apps, WordPress y las redes sociales. Por lo que un cambio de este tipo, aunque beneficie a la gran empresa europea, va a perjudicar a la productividad de las pymes y autónomos europeos.
¿Y ahora qué?
Esta es la gran duda que nos acecha, como hemos dicho es cierto que a corto plazo el fallo del TJEU puede afectar negativamente a la productividad de nuestra empresa, pues tendremos que cambiar de herramientas o bien asegurarnos que cumplen con la normativa.
Pero a medio y largo plazo es de esperar que sea ventajoso, pues no sólo protegerá mejor los datos personales de nuestros usuarios y clientes, sino que supondrá un impulso al sector de internet europeo, que le quitará una porción de mercado a las empresas americanas (que por cierto no tributan aquí).
Además conllevará la apertura de nuevas sedes de almacenamiento en Europa , ya que las empresas del nuevo continente tendrán que acatar las leyes de datos europeas o bien abrir nuevos datacenters en Europa, por lo que ambas medidas son positivas tanto para los usuarios como empresas europeas.
ACTUALIZACIÓN 24/02/2016
El 2 de febrero el Colegio de Comisarios europeos aprobaron un nuevo acuerdo para la transferencia de datos entre Europa y EE.UU. Este nuevo marco protegerá los derechos fundamentales de los europeos cuyos datos se transfieran a EE.UU y así mismo garantizará la seguridad jurídica de las empresas europeas.
Esta medida responde a la sentencia europea que dio hasta el 29 de enero de 2016 de plazo máximo a EE.UU para modificar la legislación existente en cuanto a protección de datos y ajustarse a la normativa europea.
Este nuevo marco impondrá obligaciones más estrictas a las empresas estadounidenses en lo que a protección de datos se refiere. Novedades:
-Mayor nivel de seguimiento y ejecución del departamento de Comercio de EE.UU y la Comisión Federal de Comercio ( FTC)
-Los europeos tendrán la posibilidad de formular preguntas y reclamaciones a un nuevo defensor del pueblo.
Novedades del Escudo EE.UU. – UE
Este nuevo escudo incluye obligaciones rigurosas para todas aquellas empresas que trabajen con datos personales europeos. Esto significa que toda empresa que gestione datos europeos deberá comprometerse a cumplir con las decisiones adoptadas por las autoridades de protección de datos europeas.
Por primera vez se ha conseguido llegar a un acuerdo para ofrecer transparencia para el uso que la administración estadounidense hace de los datos europeos, de manera que estos estarán sujetos a limitaciones.
Los europeos por otra parte, tienen derecho a recurrir si consideran que sus datos han sido utilizados de forma indebida. Además se han establecido plazos para que las empresas respondan a dichas reclamaciones.
Próximos pasos:
Está pendiente de aprobarse un proyecto de “decisión sobre el carácter adecuado de la protección”. Por otra parte, EE.UU está preparando el nuevo marco y las modalidades de seguimiento de este acuerdo. Además deberán nombrar a un nuevo Defensor del Pueblo.