En los últimos días hemos estado leyendo y escuchando eso de «un ultimátum de la Agencia Española de Protección de Datos a las empresas españolas».
Voy a intentar intentar explicar de forma breve por qué las empresas españolas tenemos hasta el 29 de Enero de 2016 para adecuar nuestra actividad en materia de protección de datos sopena de multas de hasta 600.000 euros y cómo evitar los problemas legales que puede causar trabajar con proveedores, por ejemplo, de Email Marketing (u otras herramientas que usamos cada día en Marketing Digital) que no se ajusten a la nueva normativa europea.
¿Qué es el Acuerdo Safe Harbour (Puerto Seguro)?
En el año 2000, la Unión Europea y EEUU firmaron un acuerdo en el que se autorizaba a empresas estadounidenses a transferir datos personales de sus usuarios y clientes ubicados en Europa a sus servidores en EEUU.
Para no alargarme en la historia, os contaré que en 2013, un activista austríaco denunció a Facebook por transferir sus datos personales desde la sede en Irlanda a sus servidores en EEUU y esto unido a las filtraciones de Snowden en las que se puso en evidencia que el gobierno de EEUU espiaba a sus ciudadanos también puso en alerta a las instituciones europeas sobre cómo también nos pueden espiar a los europeos precisamente por esa transferencia de datos entre continentes.
Cancelación del Acuerdo Safe Harbour
A principios de Octubre de este año, el TSJE se pronunció anulando el Acuerdo Safe Harbour. Ese fallo NO implica que las grandes empresas americanas que todos conocemos, como Amazon, Google, Mailchimp o incluso Twitter, tengan que dejar de transferir datos de forma inmediata, sino que son las Agencias de Protección de Datos de cada país las encargadas de analizar si esas transferencias de datos se ajustan o no a la nueva normativa europea.
Son las Agencias de Protección de Datos de cada país las encargadas de analizar si esas transferencias de datos se ajustan o no a la normativa europea.
¿Y esto a quién le afecta?
A las empresas españolas (y las europeas) y no tanto a las grandes multinacionales americanas. Os cuento. Para las empresas americanas será un trámite incluir en sus condiciones de uso -que no leemos- una cláusula que informe de que realizan transferencias de datos a EEUU y «asunto arreglado».
Hoy en día cualquier empresa española trabaja con proveedores estadounidenses susceptibles de realizar ese tipo de transferencias de datos de ciudadanos europeos a EEUU -seguro que trabajas con muchas-: Google Drive, Dropbox, Google Apps, Google Analytics, Google Adsense, Mailchimp, Facebook, Flikr, Twitter y así un largo etcétera. En este enlace puedes consultar las empresas adheridas al anulado Acuerdo de Safe Harbour.
¿Y ahora qué hacemos? Qué alternativas tenernos
Según recoge el periódico «El Confidencial»:
«…la AEPD ha requerido a todas las compañías para que dejen de usar estos servicios salvo que cumplan una de estas tres opciones: contar con la autorización del Director de la Agencia, el consentimiento informado de todas las personas cuyos datos se vean afectados o utilizar alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999, como lo puede ser por ejemplo realizar una transferencia para auxilio judicial o un diagnóstico médico.» Noticia en El Confidencial.
Entre las opciones disponibles para ajustarse a la nueva normativa, está comunicar a todos nuestros clientes y posibles clientes que puede existir transferencia de sus datos personales y conseguir su consentimiento informado. Esto lo podemos hacer por email, o avisando en nuestros formularios.
Otra opción es listar todos los proveedores que tenemos que pueden no cumplir con la nueva normativa, contactarlos y conseguir que cada proveedor firme un contrato en el que comprometa a tratar los datos conforme a la legislación europea. Eso y un certificado de poderes que confirme que la persona que firma el contrato tiene los poderes para hacerlo. Traducir esos contratos y hacerlos llegar a la AEPD para que la directora emita una autorización.
Las anteriores alternativas, son costosas a nivel de trabajo administrativo y están supeditadas al juicio de la AEPD. Es decir, podemos recabar todos esos tipos de contratos y poderes, las traducciones, enviarlos y esperar. Que enviemos los documentos no significa que todo esté OK y rápidamente tengamos la autorización por parte de la AEPD para seguir operando libres de ser inspeccionados o sancionados. Y otros cambios que dentro de unos cuantos meses o un año se puedan dar.
¿Qué hacer entonces? Una opción para muchas empresas es la de comenzar a trabajar con proveedores europeos o españoles. Para el caso de proveedores de plataformas de Email Marketing que es una de las herramientas de Marketing que mejor conocemos, algunas de las alternativas que podemos encontrar son Mailrelay, Mailjet o Rapidmail, por ejemplo.
Al final cada empresa, más allá sólo de una multa que dejaría a cualquiera tiritando, es importante valorar poder seguir ofreciendo bien el servicio ya que nuestras campañas de marketing tienen un impacto directo en ventas.
Os dejo con esto vídeo que he encontrado de la empresa Mailrelay mientras buscaba proveedores que tuvieran sus servidores dentro de la Unión Europea y que también ofrecen recursos gratuitos sobre Email Marketing que os pueden ser de utilidad.
