¿Que es Safe Harbor?
La legislación sobre el Safe Harbor en aplicación se remonta a 1998, cuando los los Estados Unidos y la UE acordaron un marco de "puerto seguro" que permitía a las empresas firmantes de Estados Unidos, la transferencia de datos a través del Atlántico, siempre y cuando cumpliesen con una serie de principios de privacidad. Lógicamente, el nivel de datos transferidos en el 98 era bastante diferente al de hoy en día, cuando la mayoría de esos datos tiene su base e internet y muchas de las compañías basan su modelo de negocio, precisamente, en la transferencia, manejo y utilización de los datos.
Gestores de Mailing
Has elegido Mail Chimp para gestionar tus boletines y administrar tus listas de distribución pero con la disolución del acuerdo Safe Harbor, resulta que ya no sabes si es legal o no seguir utilizando esa plataforma.Ante ese dilema nos encontramos muchos, en especial los que habíamos declarado ante la Agencia de Protección de Datos a Mail Chimp en el apartado de “transferencia internacional de datos” y hemos recibido una carta de la misma Agencia en donde nos indican que hemos de regularizar esa situación.
¿Es legal trabajar con Mail Chimp?
Tu como muchos otros, has elegido esta plataforma por muchos motivos de peso.No solo resulta funcional, hasta ahora también era un servicio que permitía garantizar muchas de las exigencias de la LOPD:
- Mail Chimp funciona con sistemas de validación doble opt-in para acreditar la identidad y voluntad de los suscriptores.
- Mail Chimp permite generar sistemas de información al destinatario respondiendo al articulo Nº 5.
- Mail Chimp, evita el envío multirremitente y los descuidos con la copia oculta.
- Mail Chimp regula eficazmente las bajas de suscriptores, evitando envíos a destinatarios que han desistido de recibir nuevas comunicaciones comerciales, generando mayores garantías a clientes y usuarios al automatizar el proceso.
Desde el punto de vista de la LOPD, utilizar MailChimp significa tener que subir a la plataforma las direcciones de correo y los nombres de suscriptores o clientes a quienes hayas incluido en alguna lista.
Esos nombres y direcciones de correo constituyen datos de carácter personal y por eso deben estas adecuados a las exigencias de la LOPD.
¿Qué tengo que hacer para cumplir la LOPD si trabajo con Mail Chimp?
Hasta ahora, bastaba con declarar a la agencia Española de Protección de datos que trabajabas con Mail Chimp, que adquiría la condición de proveedor o encargado de tratamiento.Al existir una comunicación de datos de carácter personal, esa comunicación se enmarca dentro la llamada “transferencia internacional de datos” ya que se realiza fuera de la Unión Europea, y para poder hacerse eso se deben cumplir antes dos premisas:
- Que el proveedor extranjero del servicio cumpla con los requisitos exigidos en la LOPD .
- Que la Agencia Española de Protección de Datos autorice dicha transferencia (si considera que se hace respetando los derechos de los ciudadanos en cumplimiento con la LOPD).
Estados Unidos, donde residen los servidores de Mail Chimp, no es un país que disponga de un nivel adecuado de protección de datos y por tanto, transferir datos desde Europa a Estados Unidos supone en escollo legal que se resolvía con el certificado Safe Harbor.
Hasta ahora las empresas adheridas a Safe Harbor como Mail Chimp, obtenían la calificación de seguras y se entendía que cumplían con las exigencias en materia de protección de datos exigidas por la UE.
Volatilizado ese acuerdo, el escenario ha cambiado, tal como te explico en este otro post:
Safe Harbor ¿ que alternativas tienes?Hay una cosa que te debe quedar muy clara:
“Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, “La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria”.
Dicha autorización no sería necesaria en caso de que puedas acogerte a alguna de las excepciones del artículo 34, de los cuales, el mas oportuno en tu caso sería:
“Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”
Pero para puedas acogerte a ese principio, deberías poder acreditar dos cosas fundamentales para el consentimiento sea válido:
- Debe ser inequívoco
- Debe ser informado (debes informar a los destinatarios que vas a utilizar Mail Chimp, explicarles la finalidad específica de esa transferencia, el país de destino)
¿Que alternativas hay para seguir utilizando Mail Chimp?
Si no puedes acogerte a algunas de las excepciones del artículo 34, la Agencia Española de Protección de datos propone lo siguiente:“La autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes.
Así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos”.
Según este principio, tu, como responsable del fichero, serías el exportador de datos y Mail Chimp el importador, por tanto, para que esa transferencia sea legal deberás:
- Si todavía no lo has hecho, deberás declarar los ficheros indicando la Transferencia Internacional de datos a Mail Chimp con sede en EEUU.
- Si ya lo habías inscrito antes de la disolución de Safe Harbor, deberás presentar un escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
- Lo siguiente es firmar con Mail Chimp un contrato basado en las Cláusulas Contractuales Tipo (en este enlace tienes el contrato para firmar con mail chimp)
- Deberás remitir ese acuerdo a la Agencia Española de Protección de Datos para obtener la correspondiente autorización.
Es por esto que es imprescindible que firmes el contrato que la propia plataforma pone a tu disposición y lo remitas a la Agencia Española de Protección de Datos.
Una vez que entras en ese enlace, verás un formulario con campos que debes facilitar, una vez que hayas cumplimentado todos los campos, envías el formulario y Mail Chimp te remite un contrato personalizado a la dirección de correo que hayas indicado. Ese contrato será el que tendrás que remitir a la agencia Española de protección de Datos.
La primera parte de mi contrato remitido por Mail Chimp:
These Additional Terms for Data Processing (the “Processing Terms”) are entered into as of the 5 day of November, 2015, by and between The Rocket Science Group, LLC, a limited liability company organized in the State of Georgia, (“we,” “us,” “our” “MailChimp” or “data importer”) and Marina Brocca, (“you,” “data exporter” “your” or “User”) a resident of or an entity located in Spain (collectively the “Parties” and individually a “Party.”)
Así lo explica la propia plataforma Mail Chimp a sus usuarios:
“Nos tomamos en serio la privacidad de nuestros usuarios. Hemos actualizado nuestro Data Processing Agreement para incluir las Data Controller to Data Processor Standard Contractual Clauses, 2010. Animamos que nuestros usuarios revisen este acuerdo como relaciona a tu compañía, los sucriptores, o país, y que lo firmes y lo entregues por internet si coincidan con tus necesidades”
Aquí puedes consultar el resto del comunicado.
Como inscribir los ficheros para que la AGPD autorice la transferencia de datos a Mail Chimp
Si no has realizado ninguna inscripción previa y es tu primera vez, deberás seguir estos pasos:- Declarar el fichero que puedes llamar “Suscriptores o “Newsletter”, e indicaremos que su encargado de tratamiento está en el extranjero en el sistema nota.
- Ya no marcaremos en “Modelo de declaración” que sea “Tipo”, sino que esta vez marcaremos “Normal”.
- En el apartado “4 Encargado de tratamiento”, pondremos los datos de MailChimp : The Rocket Science Group, LLC d/b/a MailChimp
512 Means St., Suite 404
Atlanta, Georgia- 30318 - En el apartado “10 Transferencias internacionales”, seleccionaremos como país “EEUU ” y como categoría, “Prestadores de servicio”.
Con esto ya cumpliremos para enviar datos de nuestros clientes a MailChimp de forma legal.
Lo mismo deberás hacer si utilizas Dropbox o eres partner de Gooogle Apps por ejemplo.
¿Hay otra manera de evitar todo esto?
La hay y quizás sea lo más práctico y sencillo para no complicarte y trabajar con garantías.Cambiar de proveedor y buscar una plataforma con data centers en Europa como:
Todas te ofrecen plataformas ubicadas en España, están ajustadas a las exigencias LOPD/LSSI y te evitarán conflictos legales.
¿Tienes claro como tener tu listado Mail Chimp legalizado?
Nota posterior:
a 09/12/2015
Debido a las innumerables consultas que he recibido en estos días sobre el titular del Confidencial sobre “EL ULTIMATUM de la AEPD a las empresas españolas para utilizar Dropbox y otros servicios afectados por la disolución de Safe Harbor he de decir y digo:
Es fruto de sensacionalismo barato y alarmista.
La propia AEPD ya lo ha desmentido y se ha pronunciado sobre ello.
No existe tal ultimátum, así que nada de desesperos y novias a la fuga.
Lee el comunicado de la AEPD
Fuente: Marina Brocca
No hay comentarios:
Publicar un comentario