Mail Chimp adherido al fin a Privacy Shield
Mucho fue el desconcierto cuando los titulares anunciaron el fin de Safe Harbor, en especial, para todos los que trabajábamos con Mail Chimp o cualquier otro prestador que alojara datos en EEUU.
Llovieron titulares alarmistas que decían que si seguías trabajando con Mail Chimp te ibas a convertir en una especie de pirata al margen de la legalidad y miles de profesionales corrieron a migran a otros proveedores europeos. De allí el titular de este post en clave irónica.
A pesar de que en su momento yo intenté calmar las aguas explicando cómo podrías seguir operando con Mail chimp sin convertirte en un delincuente, la alarma ya estaba creada y no hay nada más dañino que las malas lenguas. Mail Chimp se convirtió en una especie de sustancia prohibida.
Hoy ya sabemos que todo vuelve a la normalidad, algo que era completamente predecible ¿Cómo van a cerrarse las fronteras entre EEUU y Europa? Porque se trata justamente de eso, del tránsito y la exportación de datos personales de ciudadanos europeos a servidores americanos.
Ayer se supo que Mail Chimp ya hizo los deberes para que esa transferencia a sus servidores fuese completamente legítima y puedas utilizar los servicios de Mail Chimp sin convertirte en un contrabandista.
Básicamente, la noticia es que ya puedes operar con Mail Chimp con total normalidad, aunque habrá que esperar que la Agencia Española de Protección de Datos se pronuncie oficialmente sobre esto.
El camino a la legalidad de Mail Chimp
Tras la disolución del acuerdo Safe Harbor, se abrió un período de negociación en el marco del cual, la Comisión Europea y el Departamento de Comercio de EEUU, alcanzaron un acuerdo que permitirá llevar a cabo transferencias internacionales de datos con garantías suficientes. A partir de allí, las empresas que estuvieran fueran de la Unión Europea , debían adherirse necesariamente a este nuevo acuerdo o resignarse a perder gran parte de su cuota de mercado.
Mail Chimp ya estaba haciendo cola para apuntarse, quería ser la primera, como las abuelitas en la pescadería. Y no es para menos, la disolución de Safe Harbor supuso un revés colosal para ellos.
Ayer por fin, lo notificó oficialmente en su página web actualizando su política de privacidad y mediante comunicado por email a todos sus clientes europeos de la siguiente manera:
«MailChimp participa y ha certificado su cumplimiento de la privacidad de la UE-EEUU Privacy Shield . Nos hemos comprometido a someter toda la información personal recibida de países miembros de la Unión Europea (UE), en dependencia del acuerdo marco Privacy Shield , a principios aplicables del acuerdo. Para obtener más información acerca del acuerdo Privacy Shield , visite el sitio web del Departamento de Privacy Shield de Comercio de Estados Unidos:https://www.privacyshield.gov/welcome .
La lista de los participantes de Privacy Shield es mantenida por el Departamento de Comercio y está disponible en:https://www.privacyshield.gov/list .
MailChimp es responsable del procesamiento de la información personal que reciba en virtud de Privacy Shield . Nosotros cumplimos con los Principios de Privacy Shield para todas las transferencias sucesivas de datos personales de la UE, incluidas las disposiciones sobre responsabilidad ulterior a la transferencia.
Privacy Shield, los nuevos requisitos para la transferencia
El acuerdo, que lleva el elegante nombre de Privacy Shield, ha sido diseñado con tres objetivos básicos:
- Ofrecer nuevas salvaguardias con respecto al acceso a los datos por parte de las autoridades americanas (una gran debilidad de Safe Harbor)
- Ofrecer a los usuarios el derecho a tomar acciones legales contra las compañías que utilicen sus datos de manera inadecuada.
- Imponer obligaciones más estrictas a las empresas de EEUU a la hora de manejar datos provenientes de Europa.
En definitiva, se trata de introducir obligaciones más explícitas para las empresas americanas respecto a los datos personales de ciudadanos europeos, como nuevos límites de conservación y transferencia de datos, en especial, en lo referente a las «recolecciones masivas» de datos por parte de empresas americanas. Privacy Shield exige que se realicen con más garantías.
Privacy Shield proporciona una serie de beneficios importantes para las empresas que operan Estados Unidos y que reciben datos de ciudadanos europeos:
- Privacy Shield permite a las empresas americanas proporcionar una «adecuada» protección de la privacidad, un requisito (sujeto a excepciones limitadas) para la transferencia de datos personales fuera de la Unión Europea bajo la Directiva de protección de datos de la UE;
- Todos los Estados miembros de la Unión Europea están obligados por Comisión Europea a operar solo con empresas que se hayan adherido a Privacy Shied.
- Los requisitos de cumplimiento están claramente establecidos y rentable, que deberían beneficiar especialmente a las pequeñas y medianas empresas.
Las medidas que propone Privacy Shield
Privacy Shield, al que la AEPD en su nota de prensa se refiere como “el sucesor de la Declaración de Puerto Seguro”, incluye medidas que debes conocer:
- Obligaciones mucho mas rigurosas para las empresas que trabajan con los datos personales de europeos y estricta aplicación: para el nuevo marco Privacy Shield, las empresas importadoras como MailChimp, deberán adoptar mayores compromisos y ofrecer garantías suficientes equivalentes a las adoptadas por las autoridades europeas de protección de datos. Las empresas estadounidenses que deseen importar datos personales desde Europa deberán comprometerse a cumplir obligaciones rigurosas por lo que respecta a las modalidades de tratamiento de los datos personales y a la garantía de los derechos individuales. El Departamento de Comercio velará por que las empresas publiquen sus compromisos, lo que, con arreglo a la legislación de los EE.UU., los hace ejecutables por la Comisión Federal de Comercio. Además, toda empresa que gestione datos de recursos humanos de Europa deberá comprometerse a cumplir las decisiones adoptadas por las autoridades europeas de protección de datos.
- Salvaguardias y obligaciones en materia de transparencia claras para el acceso de la administración estadounidense: Aquí las autoridades americanas se han tenido que comprometer también a dosificar sus actividades intrusivas y de control de datos personales,en aras de la seguridad nacional, de europeos que sean transferidos a EEUU . Se trata fundamentalmente de evitar el acceso indiscriminado a los datos por parte de las administraciones estadounidenses y generar mayores garantías legales para los ciudadanos europeos. Ese es otro logro de Privacy Shield. Recordemos que La sentencia del 6 de octubre pasado aseguraba que el régimen anterior posibilitaba «injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas» y dejaba a los ciudadanos europeos sin «tutela judicial efectiva» ante posibles abusos en el uso o acceso a su información. Gracias a Privacy Shield, se pone un veto al Gobierno estadounidense para cesar en sus programas de «vigilancia masiva» de los datos personales de europeos que se encuentren en suelo americano.
- Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso: En el acuerdo Privacy Shield , todos los ciudadanos que consideren que sus datos se han utilizado de forma indebida en el nuevo mecanismo disponen de varias posibilidades de recurso. Aparecen definidos los plazos para que las empresas respondan a las reclamaciones.
- Creación de un nuevo Defensor del Usuario (Como un defensor del Pueblo) para tratar las reclamaciones relativas al acceso por parte de las autoridades de inteligencia nacionales. Este deberá dar respuesta a las quejas y denuncias planteadas por los ciudadanos europeos en relación con el uso de sus datos.
¿En que te beneficia a tu como ciudadano Privacy Shield?
Privacy Shield, a la vez que establece nuevas obligaciones a las empresas adheridas, también otorga nuevos derechos a los ciudadanos europeos respecto a su propia información personal.
1) Tienes derecho a obtener información sobre:
- Los tipos de datos de carácter personal recogidos por las empresas como Mail Chimp.
- La información sobre los efectos de la recopilación y uso.
- La información sobre el tipo o la identidad de terceras partes que tengan acceso a tus datos personales.
2) También te otorga el derecho a escoger opciones para limitar el uso y divulgación de tus datos personales.
3) Tienes derecho a requerir a empresas cómo Mail Chimp el acceso a los datos personales que te conciernen.
4) Tienes derecho a ser notificado de la responsabilidad de empresas como Mail Chimp cuando se transfieran tus datos personales fuera de Europa.
5) Tienes derecho a ser notificado del requerimiento de revelar tus datos personales en respuesta a solicitudes legítimas de los poderes públicos, así lo hace Mail Chimp: «Con respecto a los datos personales recibidos o transferidos de conformidad con el acuerdo Privacy Shield, estamos sujetos a las facultades de ejecución de regulación de la Comisión Federal de Comercio de los Estados Unidos. En ciertas situaciones, es posible que estemos obligados a revelar datos personales en respuesta a solicitudes legítimas de los poderes públicos, incluyendo a cumplir con los requisitos de seguridad o policiales nacionales»
6) Tienes derecho a que tus datos sean tratados con niveles de seguridad razonables.
7) Tienes derecho a obtener una respuesta a tu queja dentro de los 45 días.
8) Tienes derecho a una resolución de disputas independiente sin Costo para solucionar problemas de protección de datos.
9) Tienes derecho a invocar el arbitraje obligatorio para resolver cualquier queja que la organización ha violado sus obligaciones de conformidad con los principios establecidos en Privacy Shielf.
Las otras empresas adheridas a Privacy Shield
Si quieres consultar la lista completa de empresas adheridas a Privacy Shield , puedes consultar este listado.
Espero haberte ayudado con este post a aclarar la situación.
¿Trabajas con Mail Chimp? ¿Fuiste de los lo abandonaron o seguiste al pié del cañón?
16 comentarios
Buenos días! Un gran artículo y muy aclaratorio. Muchas gracias! quería preguntar si hay alguna novedad en este asunto ¿se ha aprobado ya el Privacy Shield o se sabe cuándo está previsto que se apruebe?
Muchas gracias de nuevo!
Gracias Virtu por tu comentario, de momento sigue todo igual, aunque cada vez mas cerca de un acuerdo. En marzo, las autoridades estadounidenses viajaron a Bruselas para conseguir apoyos y aprobar el nuevo pacto ‘Privacy Shield’ pero de momento, solo están buscando apoyos, aunque dados los intereses creados en ambos lados, no será complicado encontrarlos.
Un abrazo y gracias por comentar.
Ya tenemos la aprobación desde el 12 de Julio
Exacto, de eso justamente trata el post.
Un abrazo
Muchas gracias Marina por este post!
La aprobación se realizó el 12 de Julio de 2016
Ya era hora! Gracias por mantenernos tan bien informados
Muchísimas gracias por comentar, me alegro que te pases por aquí y que te sea útil el contenido. Un fuerte abrazo
Entonces, ¿podemos usar mailchimp sin problemas legales? Es la pregunta que nos hacemos muchos 🙂
Muchas gracias por todo
Hola Fernando,
Siempre se ha podido usar Mail Chimp, mientras recojas el consentimiento y notifiques a la agencia. A fecha de hoy, y tras consultar a la agencia, esta regularización sigue siendo necesaria porque estas empresas deberán acogerse a las exigencias de Privacy Shield, no es un proceso automático. Al igual que las empresas españolas debes adecuarse a la LOPD, las americanas deberán su adecuación a privacy shield si quieren importar dados de ciudadanos europeos, así que de momento, necesitas declarar la transferencia a la agencia de protección de datos y recoger el consentimiento de tus usuarios con esta transferencia.
Un fuerte abrazo
Muchas gracias por las explicaciones sobre evoluciones de Safe harbour a Privacy shield. Saludos.
Gracias por la actualización Marina!
Un par de dudas:
¿Tenemos que hacer algún tipo de notificación a nuestros suscriptores?
¿Cómo afecta este cambio al registro de ficheros de la AGPD? ¿debemos modificarlos?
¿Debemos editar nuestros textos de política de privacidad donde se recoge la transferencia internacional de datos?
En mi caso ya sabes que puedes actuar de oficio jejeje
Un abrazo!
Hola Bruno, muy buenas preguntas todas, el caso es que la Agencia Española de Protección de Datos no se ha pronunciado sobre este particular (tal cómo lo pongo en el artículo) y para ellos, todo sigue igual, así me lo informaron en una consulta que les hice personalmente. En cuando publiquen las mismas directivas, serás el primero en saberlo 😉 No se si será necesario modificar ficheros, pero si habrá que informar seguro de esta novedad a nuestros suscriptores.
De momento, todo sigue igual hasta nueva orden.
¡Un fuerte abrazo Bruno!
Hola Marina!
Pues mira, ayer me llegó el correo de Mailchimp y me acordé de ti.
De todas maneras ya hice hace tiempo las maletas y me fué con Getresponse, que por lo menos está en Europa.
Cuando tienes montada una plataforma de emali marketing con 10 listas segmentadas, varios autoresponders y unas cuantas historias más, no es sencillo migrar.
Gracias por la info.
Un abrazo!
Dímelo a mi, que tengo tengo una lista y me se me ponen los pelos de punta de pensar en volver a hacer todo el proceso. En cualquier caso, me alegro de que Mail Chimp vuelva al ruedo, se lo merece.
Un fuerte abrazo colegui,