Safe Harbor ¿esto que tiene que ver conmigo?
Tienes un blog o una web con un hosting cuyo servidor está en EEUU.
Ahora mismo, y por gracia de la disolución de Safe Harbor, tienes un problema, estas en arenas movedizas.
Lo mismo que si tienes contratados servidores cloud con data centers en EEUU.
¿Que tiene que ver Safe Harbor conmigo?
A estas alturas, ya debes saber que una sentencia ha suprimido el acuerdo Safe Harbor que permitía transferir datos personales desde Europa a tierra Yankee.
Básicamente se trataba de conseguir que las organizaciones que operaban entre Estados Unidos y la Unión Europea y que necesitaran gestionar datos personales, pudieran hacerlo con garantías suficientes bajo la figura del acuerdo safe harbor.
Cumpliendo los siete principios de la Directiva 95/46/CE de la Unión Europea, relativa a la protección de datos personales, las empresas americanas conseguían un «visado seguro» que les servía a modo de homologación con las exigencias europeas de protección de datos.
Uno de los requisitos para la transferencia internacional de datos es que el exportador «aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos»
Es como convalidar tu titulo para poder ejercer en el extranjero. Lo mismo significaba Safe Harbor. Dado que en EEUU no cuentan con un reglamento específico referido a protección de datos, el Safe Harbor les servía de eslabón para acoplarse a los requisitos europeos.
¿Que falló en lo nuestro?
No se acabó el amor, al parecer, se acabó la tolerancia a un certificado nada riguroso y a la indolencia de las autoridades europeas que se hacían los Suecos.
Según la sentencia de marras, el acuerdo Safe Harbor, estaba lleno de irregularidades y esos 7 principios reglamentarios en muchos casos eran mas ficción que realidad. Lo explica detalladamente Juan Carlos Galvañ Barceló en este artículo.
De allí que un juez decidiera invalidarlo y dejar en entredicho a las autoridades europeas que lo habían ratificado.
Una vergüenza que tenga que venir un juez a decirte que te has estado tocando las narices como legislador y controlador.
¿Quienes necesitaban suscribirse a Safe Harbor?
Todas las empresas americanas que operan en Europa y que tu y yo utilizamos habitualmente, a modo de ejemplo:
Mail Chimp; Dropbox; Facebook, Google, Microsoft, Amazon, Apple, Mastercard, etc, etc, etc.
Eso significa que a partir de la rotura del acuerdo Safe Harbor, tu y yo nos quedaríamos en paños menores, porque los datos personales de clientes o suscriptores que almacenamos en alguno de esos servicios, deja de ser legal y de reunir las garantías necesarias para que podamos volcar información.
Y desde luego no es culpa nuestra, porque nos aseguraron que las compañías adscritas al acuerdo Safe Harbor eran seguras y podíamos operar con total tranquilad.
Pues ahora resulta que ya no lo son y al estar fuera de puerto seguro y no existir convenio, para poder utilizar esos servicios deberíamos pedir permiso al director de la Agencia Española de Protección de datos, algo, material y humanamente imposible de gestionar o ampararnos en alguna de las excepciones del artículo 34 de la LOPD sobre transferencias internacionales de datos.
No desesperes, hasta lo de Safe Harbor tiene solución
Afortunadamente, hay alternativas y el mundo ni se acaba ni tenemos que tirarnos de los pelos.
Hay salidas muy sencillas y si tienes un blog o una web, he preparado un post muy tranquilizador para explicarte cómo va a afectar a tu blog la anulación de Safe Harbor.
Por otra parte, parece que la solución mas sencilla sería que todas las plataformas americanas que operan con datos personales de ciudadanos europeos, contrataran Data Centers en Europa, vamos, que no van a perder semejante cuota de mercado digo yo y que muchas ya están haciendo, sera por Data Centers…
Como el tema da para mucho y requiere de muchos análisis diferentes, he recopilado algunos fragmentos de artículos que a mi me han sido de enorme utilidad.
1) Safe Harbour no lo es todo..
Un interesante artículo de la bloggera friki de la LOPD, con un análisis muy claro del entuerto del Safe Harbor.
2) ¿Qué pasa con mis datos personales y los de las empresas una vez invalidado Safe Harbor?
De esto habla Rafael Varela en su blog.
3) ¿Y ahora qué? ¿Es válido mi contrato? ¿Incumplo la LOPD?
Lo explica claramente Ricard Martinez en un artículo de obligada lectura: Safe Harbor: retos para el modelo europeo de la privacidad: final. ¿Y ahora qué?
El responsable que contrató una empresa Safe Harbor se ha quedado sin base jurídica, el suelo se ha movido bajo sus pies- Ricard Martinez
Más artículos destacados sobre Safe Harbor
La APEP ha presentado una serie de artículos monográficos de lectura obligada si quieres tener una visión global de la situación y como te afecta.
- Cecilia Álvarez Rigaudias: El acuerdo sobre transferencias de datos a EEUU y Puerto Seguro declarado inválido por el TJUE.
- Josep Aragonés Salvat: Los EUA no garantizan un nivel de protección adecuado de los datos personales.
- Gonzalo F. Gállego: El TJUE invalida el esquema de Puerto Seguro…. Para ese viaje, no eran menester alforjas (o, al menos, no tan gordas).
- Hector Guzmán: No somos Facebook.
- Jesús P. López Pelaz: Puerto seguro.
- Ricard Martínez: Safe Harbor y la privacidad en Europa.
- Javier Puyol: Sentencia del Tribunal de Justicia de la Unión Europea 061015.
Espero que todo este material te sirva de ayuda, aunque hay cientos de hipótesis y enigmas pendientes de revelar.
Imagen: Dennis Jarvis
6 comentarios
Hasta ahora, los artículos que he leído sobre esta sentencia, vienen a dejar claro que los grandes americanos, dejarán el tema resuelto, cambiando las condiciones de la gratuitdad que les concedemos por tener nuestros datos alojados en sus servidores.
Sin embargo, no he encontrado una situación colateral de esta noticia, desconociendo el motivo:
¿Qué ocurrirá en el caso de un E.Comercio, que tenga su servidor en EEUU? ¿Dará el paso, a mi entender acertado de buscar un proveedor de almacenamiento de datos ubicado en Europa y con garantía en contrato de esta clausula que le libere de cometer esta irregularidad ó esperará a que sea requerido por la Agencia Española de Protección de Datos?
Hola Enrique, como en toda situación, eso dependerá de cada uno y del riesgo que quiera asumir. Para mi, habiendo una solución relativamente sencilla como cambiar a un servidor seguro, el exponer un ecommerce es absurdo, tan absurdo como mantener un negocio al margen de la LOPD, pero como bien sabes, hay de todo en la viña y sentido común es el menos común de los sentidos.
Hola Marina,
Eso quiere decir entonces que las compañías que ofrecen atención al cliente por Telegram (gas natural), yo soy cliente de Gas Natural y me piden nombre y DNI, para resolver mis consultas o whatsapp (varios bancos) actualmente, están incumpliendo la ley? o todas aquellas compañías que atienden por redes sociales y nos solicitan nombre, DNI…. =O
Muchas gracias,
Carina
Hola Carina, gracias por pasarte por aquí. Lo que planteas es muy complejo de responder sin saber en que condiciones de realiza ese servicio, si en alguna cláusula te han requerido tu permiso para contactar por esos medios y que tipo de tratamiento hacen de tu información.
En materia Safe Harbor, lo que cuenta es el almacenamiento y tratamiento de datos que realizan operadores americanos, no obstante, son muchas cosas las que habría valorar para determinar si el tratamiento por parte de esas compañías es legal o ilegal.
En cualquier cosa, la utilización de redes sociales con fines en empresariales puede plantear conflictos con las propias políticas de la red, como es el caso de whatsApp, en este post lo explico mejor:
https://marinabrocca.com/blog/marketing-legal/whatsapp-para-vender-se-puede/
Un fuerte abrazo
Marina