La noticia ha inundado todas las portadas el 6 de octubre pasado:
El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales
No voy a aburrirte en contarte nuevamente lo que estas cientos de portadas ya han contado con suficiente detalle, lo que me propongo es explicarte como te afecta esta supresión del Safe Harbor si tienes un blog o una web.
¿Qué implica la supresión del acuerdo Safe Harbor?
En párrafo corto: Existe una regulación Europea en materia de privacidad y derecho a la intimidad en internet. Esta obliga a las empresas de Internet a declarar los datos personales que almacenan y prohíbe la exportación de estos datos entre países a menos que estos países garanticen un nivel adecuado de protección.
EEUU no estaba entre los países considerados seguros ya que no cuenta con una regulación como la Europea en materia de protección de datos (ya sabemos cómo se las gastan los americanos en cuando a derechos a la intimidad)
El caso es que para salvar esta distancia entre normas y permitir la transferencia internacional de datos entre empresas europeas y americanas se firmó en el 2000 el acuerdo de Safe Harbor.
Las empresas tecnológicas americanas se comprometían con el cumplimiento de 7 principios relativos a la privacidad y con esto podían operar en Europa sin escollo legales.
Lo que sigue, ya se sabe, una sentencia demolió el acuerdo alegando que no ofrecía garantías suficientes y que, por tanto, no era legalmente válido.
¿A quién afecta la disolución del acuerdo Safe Harbor?
A dos partes fundamentales:
- A las plataformas tecnológicas americanas que almacenen datos personales en EEUU.
- A los que contraten o utilicen estas plataformas.
En general, la sentencia afecta a todos aquellos que almacenen datos personales de ciudadanos europeos en servidores de Estados Unidos, tanto si son empresas españolas como americanas.
Tú, como responsable de una web o un blog utilizas varios de estos servicios que pueden tener sus servidores en EEUU:
- El servicio de hosting
- El servicio de almacenamiento cloud
- Servicios de gestión de email (Mailchimp, Aweber, etc)
En cada uno de estos servicios que almacena información personal en servidores ubicados en EEUU se acabó la fiesta.
Te encuentras ante una transferencia internacional de datos que implica un tratamiento de información personal por parte de empresas americanas que ahora mismo, ya no se consideran seguras.
Ya no sería legal utilizar estos servicios, a menos que:
- Puedas acogerte a alguna de las excepciones previstas por el articulado en materia de transferencia internacional de datos.
- Puedes solicitar permiso al director de la Agencia Española de Protección de Datos y firmar un contrato con la empresa contratada. Aquí puedes descargar un modelo de contrato para transferencia internacional de datos en países que no garanticen una adecuada protección de los datos. Y como si esto fuera poco, deberías además conseguir el consentimiento inequívoco de tus clientes o usuarios para la transferencia prevista, para lo cual es necesario que, al inscribir el fichero de datos, conste: el destinatario de la transferencia, el país de destino, la finalidad específica de la transferencia de los datos de carácter personal.
Me agoto solo de pensarlo.
- La tercera opción: Puedes asegurarte que las empresas que contrates para la prestación de alguno de estos servicios, aunque sean americanas, tengan sus datacenters en Europa.
Yo desde luego, te recomiendo la tercera opción ¿para qué complicarte la vida?
La disolución del acuerdo Safe Harbor significa que ya no sería legal que los datos personales que gestionas circulen por servidores alojados en EEUU donde no están protegidos con la misma severidad que en Europa. Para hacerlo, deberías requerir cumplir con los requisitos 1 o 2 que acabo de enumerarte y no creo que sea una opción nada práctica.
Mi conclusión
Revisa los servicios que estas utilizando actualmente y que sean americanos. Para asegurarte que sus servidores están en europa, puedes mandarles un email como el que sigue para requerirles esta información y asegurarte que la información que está bajo tu responsabilidad, cumpla la norma europea.
Hi. Recently a judgment of the European Court has annulled the agreement «Safe Harbor».
So I need to know if [Sustituye esto por el nombre de la empresa] store my data and my clients data in European datacenters, and they are not transferred at any time to datacenters in USA.
Thank you.
Si no pueden garantizarte esto, es mejor que vayas buscando otros proveedores.
Javier Gobea, y Hormigas en la Nube, trabaja con los siguientes, y han garantizado ya que cumplen la legislación y almacenan los datos en Europa:
Hosting
- Webempresa: Ya conoces de sobra webempresa, y puede ser el momento de cambiar. Aprovecha el 20% de descuento para seguidores de Hormigas en la Nube.
- WPEngine: Si necesitas un alojamiento más potente, y con menos gestiones por tu parte, WPEngine almacena los datos en UK, por lo que cumple las leyes de privacidad europeas. Es el servidor que usa este blog. En este caso tengo para ti un descuento del 33%.
- Siteground: Recientemente han aterrizado en Europa, y dan soporte en Español. No lo he probado, pero hay buenas opiniones de ellos. Ojo, que tienen ofertas agresivas de entrada, pero no tan buenas en renovaciones, y sus discos solo son SSD en los planes superiores.
Email Marketing
- Mailrelay: Para los que están empezando, y además gratis.
- GetResponse: Servidores exclusivamente en Europa. Es el que se usa en este blog. Si necesitas potencia, facilidad de uso, y cumplir la ley, mejor esta opción. También en Español (si no te sale directamente abajo en la página puedes cambiar el idioma).
¿Que opción vas a usar para seguir protegiendo la privacidad de los datos de tus clientes?