El Puerto Seguro ha sido anulado, ¿que pasa con nuestros datos?

El Puerto Seguro ha sido anulado, ¿que pasa con nuestros datos?
Puerto Seguro ha sido anulado
Publicado el: 23 de octubre de 2015

No soy un experto en legalidad, pero en los últimos años me he visto obligado a bucear los mares de las leyes y los decretos con la intención de cumplir los requisitos que nos exige la Agencia de Protección de Datos de este país en materia de privacidad.

Al principio lo hacía a regañadientes, ya que hacer un trabajo minucioso requiere tiempo y estudio; o dinero en el caso que deleguemos en una empresa externa (y no siempre es fácil dar con la adecuada). Pero me dí cuenta que estas leyes, aunque en ocasiones resultan retorcidas y mejorables, tienen como objetivo proteger la privacidad y el anonimato de las personas; al fin y al cabo pretenden preservar los derechos de los clientes nos confían sus datos.

Por eso creo que tiene mucha importancia someterse a las leyes vigentes en esta materia, tratando de poner nuestro granito de arena para de evitar que los datos de nuestros clientes sean saqueados o espiados. Creo también que es obligación de aquellos que recogemos datos estar informados y trasmitir todos estos derechos a las personas que depositan su información en nuestras páginas.

Por otro lado hecho en falta los mecanismos gubernamentales mediante los cuales los profesionales accedamos a estos datos de una forma clara e inequívoca. En la mayoría de los casos, cuando se publica una nueva ley que afecta a la privacidad, me veo navegando entre artículos y notas de prensa para tratar de entender las repercusiones, y en muchos casos escucho a expertos en la materia con opiniones encontradas.

El seis de Octubre conocíamos la noticia de que el tribunal europeo anulaba el acuerdo de traspaso de datos entre EEUU y Europa Safe Harbour. Este es un nuevo escenario al que los grandes Google o Facebook tendrán que adaptarse, pero que también pone en riesgo la legalidad de miles de empresas españolas que tienen sus datos en servidores al otro lado del Atlántico.

¿Que es Safe Harbour?

El acuerdo de Puerto Seguro entró en vigor en 1998, al mismo tiempo que la Directiva de Protección de Datos de la UE. Este acuerdo imponía ciertos requisitos de protección y permitía el traspaso de datos sensibles entre Europa y EEUU.

En España conocíamos bien Safe Harbour, ya que según la LOPD española, las bases de datos con información sensible debían estar en territorio europeo, o en territorio EEUU en una empresa acogida al acuerdo Safe Harbour.

De tal manera hace un mes era indiscutiblemente legal albergar nuestras páginas web en servidores americanos, o guardar información de nuestros clientes en servicios como Mailchimp o Dropbox.

El maremoto llega de Austria

La primera semana de este mes conocimos la resolución del Tribunal de Justicia de la UE acerca de la demanda interpuesta en 2011 por el joven abogado austriaco Max Schrems contra Facebook. La demanda denunciaba que la normativa y la práctica de EE. UU. no garantizaban una protección suficiente de los datos transferidos a ese país, una vez conocidas las revelaciones expuestas por el ex-agente de la CIA Edward Snowden.

La denuncia se presentó ante el tribunal irlandés, ya que es en este país donde Facebook tiene la filial, y desde donde se replican los datos a Estados Unidos, así como los de Amazon o la mayoría de las empresas americanas que operan en Europa. En principio el tribunal irlandés desechó la reclamación, pero traspasó la consulta al Tribunal de Justicia de Luxemburgo.

Finalmente la Corte de Luxemburgo la semana pasada determinó la resolución del caso, estimando que ciertamente EEUU carecía de un nivel de protección de datos equiparable al de la Unión Europea e invalidado el acuerdo Safe Harbour al que las compañías americanas se adherían para librar la legislación europea de Protección de Datos.

Vale ¿todo esto a mi en que me afecta?

Si eres un usuario de internet y de redes sociales no debes temer nada. Es alentador saber que hay gente luchando por nuestros derechos de privacidad. Creo que cada vez la sociedad va siendo más consciente de las consecuencias que conlleva descuidar la seguridad de nuestros datos, que pueden llegar a comprometer nuestro anonimato en este mundo permanentemente conectado en el que vivimos.

Les toca mover ficha a los grandes Facebook, Google, a la recién llegada Netflix, y a otros gigantes como Twitter; tienen un gran problema encima de la mesa. Lo peor que pude suceder es que incluyan una nueva clausula en sus condiciones que nadie leerá en la que renunciemos a nuestros derechos para continuar usando estas redes sociales. En ese caso sería el momento de preguntarnos si queremos ceder nuestros derechos a cambio de poder seguir usando la red social en cuestión. De todas formas aún todo está en el aire y lo más prudente es observar los acontecimientos de los próximos meses.

Esperemos que las autoridades nacionales estén a la altura del nivel de privacidad al que se somenten nuestros datos y tomen las determinaciones más adecuadas para la preservación de nuestros derechos originando los minimos daños colaterales.

Y si tengo una empresa, ¿Tengo que tener alguna consideración?

Lo primero que debemos confirmar es si nuestra empresa guarda en alguna base de datos información sensible de nuestros clientes. Con información sensible nos referimos a nombres, direcciones, números de teléfono o correos electrónicos. Si utilizamos un programa de facturación online por ejemplo, si usamos un servicio de mailing o tenemos una página web que registre correos o formularios estaremos en esta situación.

Según la Legislación Española en materia de Protección de datos, si tenemos una de estas bases de datos, tenemos la obligación de que el servidor donde están almacenadas esté ubicado en territorio de la Unión Europea (además de estar dado de alta en el registro de la AGPD). Hasta ahora nuestra legislación también permitía que el servidor estuviera ubicado en Estados Unidos si la empresa que ofrecía el servicio o el hosting estaba adherida al acuerdo Safe Harbour.

A día de hoy Safe Harbour ha sido anulado por el Tribunal europeo, por lo que todos los datos ubicados en servidores americanos de empresas como Facebook o Google, pero también de muchas otras como Mailchimp, Dropbox o Zoho se encuentran bailando el limbo legal. Las páginas web que registren datos y los servidores cloud en EEUU tendrán también que demostrar que sus datos mantienen un nivel de protección suficiente.

Empiezas a preocuparme ¿Ahora qué hacemos?

El Tribunal de Luxemburgo, una vez anulado Safe Harbour, pasa el testigo a cada uno de los países miembros para que adapten sus respectivas normativas al nuevo escenario. La AGDP ha publicado hasta el momento una nota de prensa referida a la decisión del Tribunal europeo pero aún no ha determinado ninguna resolución en esta materia

Dependiendo de los servicios que tengamos en Estados Unidos será la magnitud de nuestro problema. En mi caso únicamente tengo dudas con Mailchimp. Lo cierto es que aunque me parece un servicio magnífico llevaba tiempo con la intención de migrar, por lo que adaptarme a un nuevo escenario post-safe harbour no me va a suponer mucho problema.

Sin embargo sé que hay muchas empresas que tienen sus servidores en Estados Unidos, que tienen miles de cuentas en servicios de correo o que tienen servidores cloud en Amazón, para los que plantear una migración de servicios no será tan fácil.

Es en estos casos más complejos en los que recomiendo estar pendientes de las novedades referentes a este tema, porque lo más seguro es que la AEDP se pronuncie en los próximos meses en este respecto.

Conclusiones

Sin pretender ser demasiado alarmista me gustaría advertir sobre esta situación, quizás porque he tenido la sensación de que ha pasado sin mucha repercusión. ¿Tan poco nos importa cumplir con la LODP? ¿Falta difusión al respecto de estos cambios que modifican nuestra actividad diaria en Internet?

Resumiré mis conclusiones finales:

  • Si estás pensando en utilizar un servicio en nube donde guardes datos de clientes, mi consejo es de que te asegures donde tiene el servidor; si tienes la opción de escoger un servicio con servidores ubicados en territorio UE te ahorrarás problemas a largo plazo, además de asegurar una mayor protección de los datos de tus clientes.
  • En el caso de que ya estés usando algún servicio que guarde sus datos en territorio estadounidense, o que utilices servidores americanos, valoraría la opción de migrar a otra alternativa por el mismo motivo.
  • En el caso de que la migración sea problemática, consultaría con abogados especializados. Tengo entendido que a partir de aquí el Tribunal europeo puede actuar de motu propio o motivado por una denuncia; caso bajo el cual la compañía denunciada tendría que demostrar que los datos recogidos mantienen el suficiente nivel de protección (cosa que Facebook no consiguió)

Dejo también algunos artículos donde ampliar la información sobre el tema.

Pero entre todas estas referencias, la que me parece más recomendable es este podcast de Tecnología y sentido común del 11 de Octubre que dedican al tema de la anulación del Safe Harbour.

Seguiremos atentos a la evolución de este tema por que nos parece de mucha importancia para todos los involucrados.

Director Técnico at PlanB-Ecommerce S.C.
Me han apasionado los ordenadores desde que mi padre me compró mi primer CPC. Ahora me dedico a ayudar a empresas a conseguir sus objetivos en internet.