ABC de tu empresa: Consigue la guía legal que te ayudará a ahorrar tiempo y dinero

VerdadesymentirasdelultimC3A1tumdelaAEPD1

Verdades y mentiras del ultimátum de la AEPD (transferencia internacional de datos)

¡Prohibido usar Mailchimp!
¡Subir documentos a Dropbox es ilegal!
¡Si usas Google Apps te meterán en la cárcel!

Evidentemente, estás afirmaciones son mentira. Ni la Agencia Española de Protección de Datos ha prohibido nada, ni te van a poner en el paredón si usas para trabajar una plataforma que no sea europea.

Te lo explico todo a continuación y lo verás todo claro.

¿Qué es una transferencia internacional de datos?

Es la transmisión de los datos fuera del territorio del Espacio Económico Europeo (EEE). Es decir, cuando los datos que almacenamos de nuestros clientes o contactos los enviamos fuera de Europa, ya sea porque tenemos una sede en otro país, porque guardamos los datos en servidores que no están aquí o porque contratamos servicios de empresas que no están afincadas en el EEE para que realicen servicios usando esos datos (gestores de email marketing, por ejemplo).

¡OJO! Hablamos siempre de datos personales. Si tienes tu material de trabajo colgado en la nube pero no se guardan datos personales, no te afecta.

Según la Agencia Española de Protección de Datos, para realizar estas transferencias, tenemos que pedirle permiso, salvo excepciones.

Estas excepciones, entre otras, son:

– Que sea necesaria para la salvaguarda del interés público.
– Que sea necesaria para la prevención, diagnóstico o tratamiento médico.
– O que el titular del dato te dé permiso inequívoco para que hagas esta transferencia de datos, que es la que a nosotros nos interesa.

¿Cuál es el problema?

Que en Europa se da una importancia muy alta a la protección de los datos personales, que se refleja en su normativa, órganos de control, etc. En cambio, en Estados Unidos no existe esta tendencia, no tienen normativa general, ni ningún organismo que se encargue de su cumplimiento.

¿Safe Harbor?

Como los negocios entre Europa y Estados Unidos eran numerosísimos, era necesario encontrar un mecanismo por el cual se garantizara la seguridad de los datos que se transferían a empresas Estados Unidos. Y ahí nació Safe Harbor.

Se estipularon una serie de pautas en materia de protección de datos. Cuando una empresa demostraba que sí cumplía esos requisitos, se consideraba que su protocolo de protección de datos era apto para las relaciones con empresas europeas. Y, por tanto, no había problemas en realizar las transferencias internacionales de datos.

Todo fue bien durante unos años. Las empresas americanas renovaban sus permisos anualmente y las europeas trabajaban con ellas sin preocupación.

Hasta la famosa sentencia de octubre de 2015 del Tribunal de Justicia Europea que anula este acuerdo.

¿Los motivos? En resumen (muy resumidísimo) es que en caso de confrontamiento entre las leyes estadounideneses y Safe Harbor, prevalece la primera y, por tanto, los datos se ven desprotegidos. Y, además, que la Comisión Europea no tenía poder suficiente para dictaminar el acuerdo Safe Harbour.

¿Qué dijo la Agencia Española de Protección de Datos?

Pues lo previsible: que acataban la decisión del Tribunal y que era necesario que a partir de ese momento se regularizara la situación de las empresas que transferían datos a Estados Unidos.

En concreto, envió una información a las empresas que ya tenían declaradas las transferencias de datos (es decir, las que ya habían informado a la Agencia que iban a tratar sus datos fuera de Europa) y les explicó lo que tenían que hacer.

Y esta información es la que se sacó de contexto.

El límite que puso la Agencia del día 29 de enero es una recomendación para las empresas que a ellos les consta que transfieren datos. En ningún momento dicen que el responsable de datos que no tenga regularizada su situación en esta fecha vaya a ser objeto de sanción. Vamos, que el día 30 de enero no tendremos a la policía en nuestra puerta para cachearnos.

Entonces, ¿hay o no hay ultimátum?

Pues el mismo ultimátum que siempre.

Si en tu negocio no tomas las medidas que te dice la LOPD, estás incumpliendo la ley. Y una de esas medidas es la regularización de tu situación frente a las transferencias internacionales.

Es decir, si te inspeccionan y no tienes bien hecho el trámite de las transferencias internacionales, te pueden sancionar. Pero también te pueden sancionar si te falta implementar otras medidas, como no tener dados de alta tus ficheros, no tener redactado el documento de seguridad o carecer de un protocolo de medidas de seguridad.

Adaptar tu negocio a LOPD es mucho más que cumplir con las normas de transferencia internacional de datos.

Lo que te cuento de que no es ultimátum, no lo digo yo, lo dice la Agencia. Es más, en esa información explica que no iniciará en un primer momento acciones sancionadoras sino que, cuando vean una irregularidad, procederán a suspender las transferencias de datos de esa empresa mientras se corrige la situación.

¿Y tengo que dejar de usar Mailchimp, Dropbox y demás?

Rotundamente NO.

Si quieres evitarte los trámites, puedes optar directamente por buscar proveedores europeos de email marketing, por guardar tus datos en servidores europeos o, simplemente, no usar servicios en la nube y hacerlo todo desde tus equipos.

Si quieres usarlos porque te resulta cómodo trabajar con tus prestadores de servicios estadounidenses habituales, tienes varias opciones.

Antes que nada, averigua si tienen servidores en Europa. Muchos ya los tienen, como Dropbox, que trabaja con servidores en Irlanda para sus clientes europeos.

  • Realiza el trámite de autorización para la transferencia internacional de datos ante la Agencia: para ello, pide a tu proveedor que te facilite un contrato de servicios (contrato tipo) que siga las pautas de la normativa europea. Por ejemplo, Mailchimp te lo hace automáticamente. Consigue una traducción jurada del documento en castellano (no es barato, pero lo exige la Agencia) y preséntalo ante la Agencia. Te dejo enlace a la información del trámite.
  • Pide consentimiento a todos los titulares de los datos que almacenas: si consigues que todos tus clientes, colaboradores y contactos acepten que trates sus datos en servidores de Estados Unidos (explica a través de qué empresa), no hará falta que pidas el permiso de la Agencia (es una de las excepciones que te comentaba al principio).
Como ves, hay más soluciones.

En resumen

  1. Si no eres profesional o empresa, nada de esto te afecta. Y tampoco si eres profesional pero no almacenas datos personales en servidores fuera de Europa.
  2. La información sobre las transferencias internacionales es una de las muchas normas que prevé la LOPD. No es lo único que tienes que cumplir.
  3. Si no tienes regularizado a 29 de enero de 2016 el tema de las transferencias internacionales de datos, no te pondrán una multa al día siguiente. Pero arréglalo en cuanto puedas.
  4. Puedes seguir usando los mismos proveedores que hasta ahora si sigues unas pautas.
  5. En caso de duda, acude a la fuente: http://www.agpd.es En la web de la Agencia encontrarás toda la información que necesitas. 
Y tú, ¿por qué solución optas?

11 comentarios

  1. Taller de Papel
    29 enero, 2016

    Hola María! Muy interesante el post y en realidad toda la info que compartes siempre.
    Pero tengo una duda, por motuvos personales me voy junto a mi familia a vivir a España por 2 anos. Tengo un blog y manejo mi newsletter con mailchimp. Me afecta este tema a mi al estar viviendo allá.
    Tengo doble nacionalidad chileno/española.
    Haber si me sacas de mis dudas 😉

    Muchas Gracias!…ah! Y enhorabuena por tu matrimonio!! 🙂

    Un abrazo, María Angélica

    Responder
    • María -Ablogada-
      31 enero, 2016

      Hola, María Angélica,

      Como norma general, tienes que cumplir las normas del país donde estás establecida. Si vas a vivir, trabajar y tributar en España, entiendo que sí te afecta.

      Un abrazo y gracias 😉

      Responder
  2. Raquel Orta
    30 enero, 2016

    La verdad es que el desconocimiento es lo que causa el nerviosismo , porque en principio salieron muchos titulares inconclusos y alarmantes que anunciaban sanciones al cumplirse el plazo. Yo me enteré hace poco más de un mes y al principio puse el grito en el cielo, porque aunque aún no había lanzado el blog, ya tenía todo el sistema preparado para recibir a mis suscriptores con Mailchimp. Así que lo que hice fue cambiar a Mailrelay que por cierto para mí es infinitamente mejor que Mailchimp. Lo que me preocupaba era el tema de Google, por tener el blog en Blogger, tenia mis dudas sobre el uso de analytics, drive, etc. Pero he leído que tienen data centers en Europa, con lo cual que llegue pronto el acuerdo o no, en principio no es tan relevante para los clientes europeos, aunque si se da, mejor para todos. Muchas gracias por la información.

    Responder
    • María -Ablogada-
      31 enero, 2016

      Gracias a ti, Raquel.

      Y sí, tienes razón, al principio fue todo bastante desconcertante, pero parece que ya está todo claro.

      Responder
  3. marta
    30 enero, 2016

    Muchas gracias por hacer inteligibles las palabrejas legales… Ahora me surge una duda si es que me decido a legalizar mi situación ( en estados unidos sólo uso mailchimp) pidiendo consentimiento a todos los titulares de los datos que almaceno. Cómo debo hacer eso?
    Me vale con enviar un mail explicando la situación y solicitar que me respondan diciendo que lo han leído y están conformes?
    es eso suficiente?

    Gracias!

    Responder
    • María -Ablogada-
      31 enero, 2016

      Gracias a ti, Marta!

      Sí, lo que dices está bien. Hay que informar y esperar que los titulares acepten.

      Responder
  4. Ainara Garcia
    1 febrero, 2016

    Hola María,

    Muchas gracias por este post, muy oportuno 🙂 Ya para dejar por zanjado el asunto, una pequeña pregunta. Acabo de firmar el trámite de autorización de Mailchimp desde el enlace que has puesto. Con hacer eso ¿es suficiente? ¿O debo hacer algo más? Es decir, ¿me guardo esa copia que me acaban de enviar por email o debo llevar esa copia a alguna parte?

    Gracias.

    Responder
  5. Laura
    8 febrero, 2016

    Buenas Maria,
    Felicidades por tu matrimonio!!!
    Me hablaron de ABLOGADA, y no se equivocaron cuando me dijeron que era un blog, fácil, entendedor, cercano y practico.
    El tema LOPD, me parece muy complejo y creo que como en todo los temas legales siempre quedan "lagunas" interpretables según criterio. A los que no somos expertos en materia, pero debemos aplicarlo en nuestros negocios, nos parecen del todo complicadas.
    Y soy de las que pienso que cada uno es o debería ser profesional de lo suyo y justamente en LOPD, cualquiera se atreve a implantar. Tu como crees que el que esta al otro lado del mostrador sabe de que va y tu no, porque no es lo tuyo, esta todo claro y al final siempre hay distintas versiones de como aplicar la Ley.
    En fin, gracias por tus aclaraciones y gracias también por seguir ahí.
    Tienes una nueva follow desde ya.
    Saludos,

    Responder
    • María -Ablogada-
      10 febrero, 2016

      Muchas gracias, Laura!

      Pues sí, como en todo, hay muchas cosas que tener en cuenta al implementar la normativa de protección de datos en un negocio. Pero al fin y al cabo, a la hora de aplicarlo, es cuestión de sentido común y cumplir la premisa de informar al usuario y cuidar los datos 🙂

      Responder
  6. Raquel
    31 mayo, 2017

    Hola!
    Me ha sido de mucha ayuda tu post. Sin embargo todavía tengo ciertas dudas relativas a mi uso particular de Mailchimp: lo utilizo para enviar newsletters internas en mi empresa, es decir, al resto de trabajadores.
    En este caso ¿se incumple la normativa?

    Muchas gracias!

    Responder
    • María -Ablogada-
      9 junio, 2017

      Hola, Raquel,

      Si es dentro de tu empresa y a los emails internos de los trabajadores, no es el caso de publicidad a terceros, por lo que entiendo que no incumples lo que comento en el post. Gracias!

      Responder

Deja tu comentario

Tu correo electónico no será publicado. Los campos obligatorios estan marcados con un *