SAFE HARBOR: alternativas seguras a Mail Chimp

Hace poco ni sabias que existía Safe Harbor, ahora, no te queda más remedio que saberlo y además, te toca tomar algunas decisiones.

Safe Harbor (puerto seguro) no es más que una forma de legalizar la transferencia de datos a otros estados fuera de la Unión Europea.

La disolución del acuerdo Safe Harbor te obliga a revisar todos los servicios con los que trabajas actualmente y que tengan los servidores en países fuera de la Unión Europa.

Es posible que para ti Safe Harbor sea un evento extraño y alejado de tus preocupaciones, pero lo cierto es que no lo es y cuanto antes lo averigües, mucho mejor,

Te sorprenderá comprobar que son varios los servicios que utilizas a diario y que están afectados por la disolución de Safe Harbor.

¿Por qué te afecta a ti el final de Privacy Shield?

Porque a partir de la  declaración del Tribunal de Justicia Europeo, ya no se considera legal operar con servicios adheridos a Safe Harbor que impliquen una transferencia internacional de datos y no son pocos los servicios que utilizas de manera habitual que estaban adheridos a este acuerdo que ha dejado de tener valor y legalidad.

¿Cómo te afecta a ti la disolución de Privacy Shield?

Tienes un negocio pequeño, no entiendes que puede tener que ver contigo Privacy Shield.

Es lógico, porque estas cosas nadie nos las explica en cristiano y hay que tener un doctorado en derecho internacional para comprender algunos artículos que pretenden explicarlo.

No te preocupes, vamos al meollo del asunto para que puedas verlo con claridad y sin tener un diccionario al lado.

Lo primero que tienes que saber es que cualquier dato personal que sea almacenado o tratado fuera de la Unión Europea se considera transferencia internacional de datos.

Por ejemplo, si trabajas con un gestor de correos para el envío de NewsLetteres a tus clientes o a tu lista de suscripción, estás almacenando datos personales en los servidores de ese gestor de correos.

Si esos servidores están fuera de la Unión Europea, estamos hablando de Transferencia internacional de datos.

Un nombre y una dirección de email son datos de carácter personal que están sujetos a regulaciones en materia de protección de datos que las amparan.

Para la Unión Europea, los datos personales son algo muy serio y por esto, cada uno de los países miembros cuenta con una legislación propia en materia de protección de datos, en España nosotros contamos con la LOPD (Ley orgánica de Protección de Datos) que plantea exigencias muy claras a todas las empresas que almacenan y gestionan datos personales y garantiza derechos a los dueños de esa información, es decir, ciudadanos como tú y como yo.

Estamos hablando del derecho fundamental al honor y a la intimidad, algo que, al parecer, otros, como los estadounidenses, no parecen garantizar con la misma rotundidad y por eso, no se considera “buena idea” que nuestra información personal caiga en sus manos.

¿Qué significa transferencia internacional de datos?

“Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s) RLOPD)” Agencia Española de Protección de Datos.

Es decir, el hecho de que operes con un gestor de correos que gestione y almacene información de ciudadanos europeos (nombre y e-mail) en servidores americanos ya supone una transferencia internacional de datos. En el caso de Estados Unidos, el quid de la cuestión es que, como te comenté, este país no se considera un puerto seguro, es decir, no garantiza los niveles de seguridad y privacidad exigidos por la Comisión Europea, por tanto, no es legal exportar datos a esos servidores de forma directa.

Requisitos para exportar datos

Hasta ahora, si querías utilizar servicios con servidores americanos, tipo Mail Chimp, solo necesitabas averiguar si esa empresa estaba adherida a Safe Harbor y realizar la inscripción correspondiente en el formulario Nota indicando “Empresa adherida a Safe Harbor” y listo.

Ahora, esa bisagra legal ya no te sirve y necesitas además la Autorización previa de la Directora de la Agencia Española de Protección de Datos. Es decir, tienes que declarar la trasferencia Internacional de datos a través del sistema NOTA y requerir una autorización especial para ello.

En resumen, el certificado Safe Harbor salvaba este escollo legal y actuaba a modo bisagra para poder utilizar servicios con servidores fuera de la Unión Europea sin tener que pedir autorización a la directora de la Agencia Española de Protección de datos, así, si decidías utilizar Dropbox, Mail Chimp, o cualquier otro servicio adherido a Safe Harbor, solo tenías que indicarlo y tema solucionado.

¿Qué significa estar adherido a “Safe Harbour”?

Ahora mismo nada.

Safe Harbor, como te explicaba, se creó como una bisagra legal frente a la  Directiva 95/46/CE del Parlamento Europeo que establece la prohibición de transferir datos personales de ciudadanos de la Unión Europea a otros países fueras de la UE sin garantizar una protección adecuada de los mismos.

Safe Harbor viene a ilustrar el lema de “hecha la Ley, hecha la trampa”, creamos un certificado que dice que somos buena gente y que nos comprometemos a portarnos bien y así nos libramos de ese escollo legal.

Pero un día el truco bisagra “Safe Harbor” se acabó y el puerto seguro se derrumbó.

El Tribunal de Justicia de la Unión Europea (TJUE) tras la denuncia de un chico muy listo llamado Maximillian Schrems, declara inválida la Decisión de la Comisión 2000/520/CE que establecía un nivel adecuado de protección para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Safe Harbor.

Lo sorprendente de la decisión del Tribunal de justicia de la Unión Europea es que cuestiona a la propia Unión Europea y la acusa de no haber comprobado que se cumplieran las garantías exigidas en el acuerdo Safe Harbor, vamos, que bastaba con una declaración de intenciones para poder operar con datos de ciudadanos europeos sin complicarse mucho la vida.

Por tanto, una vez comprobado que el acuerdo Safe Harbor no aportaba las garantías necesarias, se declaró inválido como bisagra legal.
También hay que señalar, que, para los Estados Unidos, la seguridad está muy por encima de los derechos ciudadanos y que el estado puede intervenir servidores si lo considera necesario para el interés común, algo que vulnera cualquier garantía legal respecto a la privacidad, otro argumento para invalidar el acuerdo Safe Harbor.

¿A quién beneficia Safe Harbor?

Beneficiaba a grandes empresas tecnológicas americanas que operan en Europa como Facebook, Google o Amazon, que ahora mismo deberán replantearse donde y como almacenan los datos de ciudadanos europeos.

¿Qué alternativas tienes si utilizas Mail Chimp?

A estas alturas, creo que ya habrás sacado tus propias conclusiones y has comprendido dos puntos esenciales:

1) Los datos que gestionas de otros y que están bajo tu responsabilidad (clientes, proveedores, suscriptores) desde el momento que son almacenados o tratados por una empresa cuyos servidores radican fuera de la Unión Europa, se consideran transferencia internacional de datos.

2) Para poder exportar esos datos legalmente, debes cumplir con requisitos que desde la disolución de Safe Harbor, ya no son tan sencillos.

Por tanto, si necesitas utilizar un servicio de mensajería para establecer tus comunicaciones con clientes y/ o suscriptores que tenga sus servidores en estados unidos, tendrás que regularizar esa situación.

Yo me tomé la libertad de preguntar a Mail Chimp si pensado utilizar data centers en Europa para salvar este escollo legal y la respuesta es la que copio y pego a continuación:

Good morning Marina,

Thank you for contacting us.

All data is held and processed in the USA . We may also use global relay servers to increase delivery speed.

Best regards,
MailChimp Legal Department

Todo se procesa en Estados Unidos, así que hay poco que hacer allí.

De momento, la única posibilidad de seguir utilizando servicios como Mail Chimp es realizar alguna de estas dos alternativas:

– Utilizar las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea y pedir al proveedor que te las devuelva firmadas, teniendo en cuenta que el contrato debe estar en Español o pagar por una traducción jurada, no lo veo nada práctico.

– Encontrar alguna de las excepciones del artículo 34 de la LOPD a la que puedas acogerte, en el caso de un proveedor de mensajería, solo hay una que podrías invocar: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. En ese caso, deberás informar de la transferencia internacional a los destinatarios y recoger el consentimiento expreso de todos y cada uno de ellos.

En cualquier caso, la Agencia Española de Protección de Datos (AEPD) da un plazo de 3 meses para que puedas ponerte al día.

¿Qué pasa si no regularizo mi situación con mis proveedores Safe Harbor?

Asumes el riesgo de ser denunciado por cualquier cliente o suscriptor que entienda que estás utilizando un servicio que no garantiza la seguridad de su información y podrás ser sancionado.

La agencia Española de Protección de datos te lo explica de la siguiente manera:

“Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, «La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria«.

Falta muy grave equivale a sablazo de los buenos.

¿Merece la pena complicarte la vida?

Como salir airoso del entuerto Safe Harbor

Visto lo visto, puedes buscar la alternativa complicada o la sencilla.
Afortunadamente, contamos con empresas locales cuyos servidores están aquí mismo y que nos garantizan el cumplimiento legal de todas las exigencias en materia de protección de datos y que prestan los mismos servicios que Mail Chimp, incluso mejor.
Solo tienes que migrar los datos a Mailrelay y evitar complicaciones legales.

Más ventajas de utilizar Mailrelay para cumplir con la LOPD

Las ventajas de cara al cumplimiento de la LOPD no terminan evitando la transferencia internacional de datos, Mailrelay te permite, además, cumplir con muchos otros requisitos de la LOPD.

Un servicio de mensajería local como Mairelay te ofrece muchas ventajas de cara al cumplimiento legal de la LOPD:

1) Autorresponders:

Algo que yo recomiendo especialmente a mis clientes a la hora de realizar un mail marketing legal y seguro. Hay una razón muy sencilla: el autoresponder permite garantizar el deber de información, uno de los principios básicos de la LOPD.

Para el caso de las newsletter, es imprescindible informar adecuadamente a los destinatarios acerca de varios supuestos:

– Como hemos obtenido sus datos.
– Identidad del responsable de gestionar esa lista.
– La finalidad que le daremos a sus datos.
– Si tenemos previsto ceder sus datos a terceros.
– Los derechos que le asisten: ARCO

Tener un autorresponder permite acreditar este deber de manera muy clara y efectiva. Basta con incorporar una cláusula en el autorresponder tras recibir la suscripción para dar por cumplida esta obligación.

2) Sistema de verificación doble opt-in:

Lo mismo ocurre con el sistema de verificación doble opt-in, que garantiza la voluntad del titular del correo electrónico y evita usurpaciones de identidad y suscripciones fraudulentas.

Cada vez que un usuario realiza una suscripción a tu boletín, Mailrelay enviará un correo al usuario que este deberá confirmar para acreditar su identidad.

3) Sistema de baja automática:

Mailrelay le permite a tus suscriptores ejercitar los derechos ARCO de manera automática y muy sencilla, ya que todas sus plantillas incorporan un enlace de baja de las suscripciones que funciona de manera automática y garantiza que el usuario pueda ejercer su derecho de Cancelación conforme a la LOPD.

Este es un elemento clave en el cumplimiento de la LOPD y quizás el motivo más frecuente de denuncias y sanciones, por eso, el poder trabajar con un sistema que garantice el cumplimiento de la voluntad de los usuarios y evite el envío de nuevas comunicaciones tras haberse revocado el consentimiento previo y una vez que el usuario ha manifestado la negativa a no desear nuevos correos comerciales es imprescindible.

Conclusión: las mejores soluciones suelen ser las más sencillas

Tienes la mejor solución delante de tus ojos y no hay motivo para complicarte o arriesgarte a estar fuera de la Ley.
Es posible que aparezcan nuevas alternativas a Safe Harbor, o que estas empresas empiecen a trasladar sus servidores en Europa, pero mientras esto se soluciona, tu estas en un atolladero legal.
Lo más sensato es apostar por lo local, trabajar con garantías legales y realizar un email marketing respetuoso y comprometido con los derechos de los usuarios, es la mejor manera de consolidar una estrategia.
¿Preparado para el mail marketing legal?

Acerca de Marina Brocca

Consultora Especialista en Marketing Legal y Protección de Datos en Madrid. Especialista en la LOPD y LSSI.

Blogger en marinabrocca.com. Redactora en Digital Marketing Trends.

Ponente-Formadora. Acreditada como especialista en protección de datos, área Jurídica, por THOMSON REUTERS ARANZADI. Colabora actualmente con diferentes despachos jurídicos y agencias de Marketing.