Emailing: Disolución del acuerdo Safe Harbor y los servicios de emailings

¿Que es Safe Harbor?

Según Hipertextual, El Tribunal de Justicia de la UE ha dado un pasito más para proteger la privacidad de los usuarios y consumidores europeos con la anulación del conocido Safe Harbor -o puerto seguro-, que autorizaba a las compañías no europeas la transferencia de datos personales a un tercer país cuando garantizasen un nivel de protección adecuado y se respetase las disposiciones legales de los Estados miembros -aunque la en la práctica no se pudiese comprobarse el nivel de protección-.
La legislación sobre el Safe Harbor en aplicación se remonta a 1998, cuando los los Estados Unidos y la UE acordaron un marco de "puerto seguro" que permitía a las empresas firmantes de Estados Unidos, la transferencia de datos a través del Atlántico, siempre y cuando cumpliesen con una serie de principios de privacidad. Lógicamente, el nivel de datos transferidos en el 98 era bastante diferente al de hoy en día, cuando la mayoría de esos datos tiene su base e internet y muchas de las compañías basan su modelo de negocio, precisamente, en la transferencia, manejo y utilización de los datos.

Gestores de Mailing

Has elegido Mail Chimp para gestionar tus boletines y administrar tus listas de distribución pero con la disolución del acuerdo Safe Harbor, resulta que ya no sabes si es legal o no seguir utilizando esa plataforma.
Ante ese dilema nos encontramos muchos, en especial los que habíamos declarado ante la Agencia de Protección de Datos a Mail Chimp en el apartado de “transferencia internacional de datos” y hemos recibido una carta de la misma Agencia en donde nos indican que hemos de regularizar esa situación.

¿Es legal trabajar con Mail Chimp?

Tu como muchos otros, has elegido esta plataforma por muchos motivos de peso.
No solo resulta funcional, hasta ahora también era un servicio que permitía garantizar muchas de las exigencias de la LOPD:

• Mail Chimp funciona con sistemas de validación doble opt-in para acreditar la identidad y voluntad de los suscriptores.
• Mail Chimp permite generar sistemas de información al destinatario respondiendo al articulo Nº 5.
• Mail Chimp, evita el envío multirremitente y los descuidos con la copia oculta.
• Mail Chimp regula eficazmente las bajas de suscriptores, evitando envíos a destinatarios que han desistido de recibir nuevas comunicaciones comerciales, generando mayores garantías a clientes y usuarios al automatizar el proceso.

Por eso, Mail chimp resultaba una alternativa idónea para gestionar las listas de correo de tu negocio desde el punto de vista legal.
Desde el punto de vista de la LOPD, utilizar MailChimp significa tener que subir a la plataforma las direcciones de correo y los nombres de suscriptores o clientes a quienes hayas incluido en alguna lista.
Esos nombres y direcciones de correo constituyen datos de carácter personal y por eso deben estas adecuados a las exigencias de la LOPD.

¿Qué tengo que hacer para cumplir la LOPD si trabajo con Mail Chimp?

Hasta ahora, bastaba con declarar a la agencia Española de Protección de datos que trabajabas con Mail Chimp, que adquiría la condición de proveedor o encargado de tratamiento.
Al existir una comunicación de datos de carácter personal, esa comunicación se enmarca dentro la llamada “transferencia internacional de datos” ya  que se realiza fuera de la Unión Europea, y para poder hacerse eso se deben cumplir antes dos premisas:

1. Que el proveedor extranjero del servicio cumpla con los requisitos exigidos en la LOPD .
2. Que la Agencia Española de Protección de Datos autorice dicha transferencia (si considera que se hace respetando los derechos de los ciudadanos en cumplimiento con la LOPD).

Y aquí comienzan las complicaciones…
Estados Unidos, donde residen los servidores de Mail Chimp, no es un país que disponga de un nivel adecuado  de protección de datos y por tanto, transferir datos desde Europa a Estados Unidos supone en escollo legal que se resolvía con el certificado Safe Harbor.
Hasta ahora las empresas adheridas a Safe Harbor como Mail Chimp, obtenían la calificación de seguras y se entendía que cumplían con las exigencias en materia de protección de datos  exigidas por la UE.

Pero todo cambió al disolverse ese acuerdo y ahora, las empresas cuyos data centers estén ubicados en Estados Unidos, no se consideran seguras para que podamos transferir datos personales a estos servidores, como es el caso de Mail Chimp.
Volatilizado ese acuerdo, el escenario ha cambiado, tal como te explico en este otro post:

  Safe Harbor ¿ que alternativas tienes?

Hay una cosa que te debe quedar muy clara:
“Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, “La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria”.
Dicha autorización no sería necesaria en caso de que puedas acogerte a alguna de las excepciones del artículo 34, de los cuales, el mas oportuno en tu caso sería:
“Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”
Pero para puedas acogerte a ese principio, deberías poder acreditar  dos cosas fundamentales para el consentimiento sea válido:

• Debe ser inequívoco
• Debe ser informado (debes informar a los destinatarios que vas a utilizar Mail Chimp, explicarles la finalidad específica de esa transferencia, el país de destino)

¿Que alternativas hay para seguir utilizando Mail Chimp?

Si no puedes acogerte a algunas de las excepciones del artículo 34, la Agencia Española de Protección de datos propone lo siguiente:
“La autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes.
Así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos”.
Según este principio, tu, como responsable del fichero, serías el exportador de datos y Mail Chimp el importador, por tanto, para que esa transferencia sea legal deberás:

1. Si todavía no lo has hecho, deberás declarar los ficheros indicando la Transferencia Internacional de datos a Mail Chimp con sede en EEUU.
2. Si ya lo habías inscrito antes de la disolución de Safe Harbor, deberás presentar un escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
3. Lo siguiente es firmar con Mail Chimp un contrato basado en las Cláusulas Contractuales Tipo  (en este enlace tienes el contrato para firmar con mail chimp)
4. Deberás remitir ese acuerdo a la Agencia Española de Protección de Datos para obtener la correspondiente autorización.

Según un informe de la propia agencia,  las solicitudes de transferencia internacional de datos de encargado, prestador de servicios, a subencargado del tratamiento, que aporten un contrato entre ambos con las cláusulas elaboradas por la AEPD, junto con el contrato marco entre el responsable y el prestador de servicios donde se autorice la subcontratación, se considerarán que ofrecen las garantías adecuadas para la protección del derecho fundamental a la protección de datos.
Es por esto que  es imprescindible que firmes el contrato que la propia plataforma pone a tu disposición y lo remitas a la Agencia Española de Protección de Datos.
Una vez que entras en ese enlace, verás un formulario con campos que debes facilitar, una vez que hayas cumplimentado todos los campos, envías el formulario y Mail Chimp te remite un contrato personalizado a la dirección de correo que hayas indicado. Ese contrato será el que tendrás que remitir a la agencia Española de protección de Datos.
La primera parte de mi contrato remitido por  Mail Chimp:
These Additional Terms for Data Processing (the “Processing Terms”) are entered into as of the 5 day of November, 2015, by and between The Rocket Science Group, LLC, a limited liability company organized in the State of Georgia, (“we,” “us,” “our” “MailChimp” or “data importer”) and Marina Brocca, (“you,” “data exporter” “your” or “User”) a resident of or an entity located in Spain (collectively the “Parties” and individually a “Party.”)
Así lo explica la propia plataforma Mail Chimp a sus usuarios:
“Nos tomamos en serio la privacidad de nuestros usuarios. Hemos actualizado nuestro Data Processing Agreement para incluir las Data Controller to Data Processor Standard Contractual Clauses, 2010. Animamos que nuestros usuarios revisen este acuerdo como relaciona a tu compañía, los sucriptores, o país, y que lo firmes y lo entregues por internet si coincidan con tus necesidades”

Aquí puedes consultar el resto del comunicado.

Como inscribir los ficheros para que la AGPD autorice la transferencia de datos a Mail Chimp

Si no has realizado ninguna inscripción previa y es tu primera vez, deberás seguir estos pasos:

1.   Declarar el  fichero que puedes llamar “Suscriptores o “Newsletter”, e indicaremos que su encargado de tratamiento está en el extranjero en el sistema nota.
2.  Ya no marcaremos en “Modelo de declaración” que sea “Tipo”, sino que esta vez marcaremos “Normal”.
3.  En el apartado “4 Encargado de tratamiento”, pondremos los datos de MailChimp : The Rocket Science Group, LLC d/b/a MailChimp
   512 Means St., Suite 404
   Atlanta, Georgia- 30318
4. En el apartado “10 Transferencias internacionales”, seleccionaremos como país “EEUU ” y como categoría, “Prestadores de servicio”.

Terminamos de cumplimentar el resto del formulario NOTA y envías a AEPD. A los 15 días mas o menos recibirás la autorización .
Con esto ya cumpliremos para enviar datos de nuestros clientes a MailChimp de forma legal.
Lo mismo deberás hacer si utilizas Dropbox o eres partner de Gooogle Apps por ejemplo.

¿Hay otra manera de evitar todo esto?

La hay y quizás sea lo más práctico y sencillo para no complicarte y trabajar con garantías.
Cambiar de proveedor y buscar una plataforma con data centers en Europa como:

•  MailRelay 
• TeEnvio
• MDirector

Todas te ofrecen plataformas ubicadas en España, están ajustadas a las exigencias LOPD/LSSI y te evitarán conflictos legales.
¿Tienes claro como tener tu listado Mail Chimp legalizado?

Nota posterior:
a 09/12/2015
Debido a las innumerables consultas que he recibido en estos días sobre el titular del Confidencial sobre “EL ULTIMATUM de la AEPD a las empresas españolas para utilizar Dropbox y otros servicios afectados por la disolución de Safe Harbor he de decir y digo:
Es fruto de  sensacionalismo barato y alarmista.
La propia AEPD ya lo ha desmentido y se ha pronunciado sobre ello.
No existe tal ultimátum, así que nada de desesperos y novias a la fuga.
Lee el comunicado de la AEPD

Fuente: Marina Brocca

Requisitos legales para tiendas online y venta por internet

Antes de empezar un negocio online es importante informarnos bien sobre los requisitos legales que aplican a esta nueva actividad. Este artículo pretende ser una guía básica de los aspectos legales que debes tener en cuenta si vives en España y que pueden ser algo diferentes según cada caso.

Los requisitos legales para tiendas online y la venta por internet son los mismos que para cualquier otro tipo de negocio. En este caso son los mismos requisitos que para una tienda física de la calle, pero con la diferencia que las tiendas online no tienen que cumplir los trámites de licencias de apertura. Así que es una ventaja más que encontramos en las tiendas online respecto de las tiendas físicas.

Si ya dispones de un negocio tan sólo deberás repasar si tu alta en actividades conómicas te permite la comercialización a distancia, de no ser así deberías cursar el alta en un nuevo epígrafe que te habilite.

Si es la primera vez que inicias una actividad profesional por tu cuenta deberás hacer lo siguiente:

• Darte de alta censal con el modelo 036.  Dónde? En una de las oficinas de la Agencia Tributaria. Cuando te des de alta deberás elegir el epígrafe correspondiente (IAE) según la actividad que vayas a realizar . Darse de alta en más de un IAE no supone un coste adicional de dinero, salvo que logres facturar más de un millón de euros claro.
• Darte de alta como autónomo. Donde? En una de las oficinas de la Tesorería General de la Seguridad Social. La cuota de autónomo mínima ronda los 250€ al mes, no te debe asustar esta obligación, solo es efectiva si logras obtener ingresos recurrentes pon encima del salario mínimo interprofesional o si contratas empleados.

En la tienda online

Los requisitos legales para la tienda online son:

• Tener la posibilidad de emitir facturas con el tipo de IVA que corresponda, mediante el alta en actividades como te decíamos antes.
• Identificar claramente tu negocio por medio de las páginas legales tales como aviso legal y condiciones de compra. Los datos básicos de identificación son: nombre de la empresa o individuo, email, dirección, CIF/NIF.
• Ofrecer algún sistema de contacto para posibles reclamaciones o consultas.
• Tener en cuenta la Ley de Protección de Datos (LOPD) en el momento de pedir (y tratar) los datos de los compradores. Si los datos que pides son únicamente nombre, dirección, teléfono e email, deberás cumplir con el nivel básico (el más bajo), si guardas números de tarjeta de crédito deberás cumplir con el nivel medio. El hecho de ofrecer pago por PayPal o TPV bancario no supone que tu trates con los datos de esas tarjetas de pago con lo que con el nivel básico es suficiente.

Fuente:  Xopie Tiendas Online

Cómo adaptar la base de datos personales de tu actividad a la Ley de Protección de Datos (LOPD)

La protección de datos personales es un derecho fundamental, protegido por la Constitución Española y regulado por Ley Orgánica, la L.O. 15/1999 y por otros desarrollos normativos como el R.D. 1720/2007. La adaptación que toda actividad profesional o empresarial que maneje datos de carácter personal (nombre y apellidos de personas, direcciones físicas y/o electrónicas, teléfonos, entre otros) tiene una serie de pilares, que han de ser siempre respetados: informar, recabar el consentimiento, notificar a la Agencia de Protección de Datos, adoptar las medidas de seguridad necesarias, mantener un protocolo de actuaciones interno que recoja la organización que para el cumplimiento de estas obligaciones mantenemos internamente, así como para atender los derechos que los titulares de los datos personales que tratamos tienen. 

Desde una comunidad de propietarios hasta la actividad de comercio electrónico más compleja que podamos imaginar, sea del tamaño que sea la organización, van a tener en común las mismas obligaciones básicas, que podrán ir complicándose en la medida que la organización interna sea más compleja, extensa y maneje datos personales de un tipo u otro.

La LOPD protege un derecho fundamental, por este motivo, los afectados, es decir los titulares de datos personales que vamos a manejar dentro de nuestra actividad, deben siempre estar informados de “forma expresa, precisa e inequívoca” del uso y destino que vamos a dar a sus datos. Siempre han de conocer las posibilidades de amparo que la normativa les (nos) reconoce a través de los derechos de acceso, rectificación, cancelación y oposición.

¿Qué pasos básicos debemos seguir para estar en línea con las exigencias de la normativa?:

1. Incluir en toda entrada de datos a nuestra organización, sea esta de forma on-line o presencial, información respecto de lo señalado arriba, respondiendo siempre a quién trata y puede conocer de los datos, para qué, los derechos que el titular de los datos tiene y cómo ejercitarlos.
2. Obtener el consentimiento expreso para tratar los datos personales.
3. Definir los ficheros de datos personales que estamos manejando en nuestra organización y solicitar su inscripción en el Registro General de la Agencia Española de Protección de Datos Personales.
4. Aplicar las medidas de seguridad que correspondan al tipo de datos personales que manejamos.
5. Elaborar el documento de seguridad – documento obligatorio que la norma exige y que hemos de presentar si la Agencia nos lo solicita – que recoja la estructura organizativa interna en relación con el tratamiento de datos que realicemos: usuarios, locales, software, hardware, controles de accesos, copias de seguridad, protocolos …

Las exigencias de una correcta adaptación a la normativa de datos personales no solo se ciñen a legalizar una base de datos, sino que alcanzan a toda la estructura organizativa de la empresa y al funcionamiento de la misma, exigiendo la implicación de todos los niveles que se encuentren involucrados en el manejo de datos personales, empezando por la dirección. Los incumplimientos en esta materia redundan negativamente en la empresa, tanto en el plano económico con sanciones que pueden ir desde los 900 a los 600.000 €, como en el plano de su imagen y consideración en el mercado, por ser este un aspecto especialmente sensible y abierto a polémicas por los más diversos motivos: relaciones laborales, envío de pedidos, publicidad …

Fuente: xopie.com

Cumplir la LOPD y la LSSICE

Para vender mediante una tienda online en España tenemos que cumplir la LSSICE y la LOPD.  Si no la cumples puedes exponerte a importantes multas si alguien te denuncia (por cierto esas multas no las cobra el que denuncia, sino el estado).

Para empezar ¿qué significan esas siglas?:

• LOPD: Ley Orgánica de Protección de Datos
• LSSICE: Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico

En este punto tienes dos opciones, solicitar a una empresa que te asesore y te realice los trámites para cumplirlas o aventurarte tú mismo y realizar la acciones que son necesarias. En este post vamos a comentar los pasos que deberías realizar para cumplirlas tú mismo, enumeraremos los puntos básicos a seguir sin meternos en demasiado detalle para que no quede demasiado largo. Cualquier duda o aclaración podéis hacérnoslas llegar en el apartado de comentarios.

LOPD y LSSICE

Cumplir LSSICE (obligaciones de los propietarios y proveedores de los sitios web). Debe informarse en la web de la tienda online de:

• Denominación social, NIF, domicilio, teléfono o e-mail.
• Los datos de inscripción en el registro.
• Condiciones de uso de la web.
• Precios de los productos o servicios que se venden en la web. Informándose de los impuestos y los gastos de envío.

Estos puntos ya de por sí son lógicos incluirlos en la web. Puede estar en uno o varios apartados. Nosotros lo tenemos en la sección “Quienes somos” y en el pie de la página.

Para más información sobre LSSICE os recomendamos consultar su web oficial.

Cumplir LOPD

Las obligaciones se dividen en 3 apartados: Notificación, Obtención del consentimiento y Protección de los datos.

• Notificación: Notificar a la Agencia Española de Protección de Datos (AGDP) de aquellos ficheros de los que somos propietarios (y cualquier variación de los mismos).

Como cumplirlo: Rellenando el sistema NOTA (www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/index-ides-idphp.php) Hay una plantilla que te guía al completarlo. Se puede realizar de manera telemática.

Una vez enviado y pasado apróximadamente 1 mes podrás comprobar en la misma web de la AGDP si está correctamente inscrito (en https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php)

• Obtención del consentimiento: Para obtener y almacenar los datos de terceros debemos de contar son su consentimiento, no pudiendo hacer nunca uso fraudulento de ellos.

Como cumplirlo: Indicando en la web cuando se vayan a recoger datos del objetivo que persigue esa recogida de información, que van a ser almacenados y solicitando su consentimiento. Nosotros indicamos al cliente que al darse de alta (y al realizar un pedido) acepta los términos y condiciones de uso donde en el apartado de “Política de privacidad” hacer referencia a la LOPD.

Además el cliente debe poder actualizarlos o eliminarlos, debemos indicar como lo puede hacer.

• Protección de los datos: Los ficheros con esos datos deben estar protegidos física y tecnológicamente. La información solo puede ser accesible por personas autorizadas.

Para garantizar la seguridad debemos alojar la web en un hosting que permita mantener dicha seguridad, para ello el hosting debe ser de una empresa europea o de una norteamericana incluida en el listado “Safe Harbour”. Nuestra recomendación es utilizar un hosting español para quitarnos problemas y por lo que ya comentamos respecto al posicionamiento en las búsquedas desde España.

En cuanto al acceso debe utilizarse los medios tecnológicos disponibles, evidentemente para acceder a la administración de los datos debe realizarse mediante usuario y contraseña.

Debe redactarse un documento de seguridad que debemos seguir. Una guía se puede obtener en www.agpd.es/portalwebAGPD/canalresponsable/guia_documento/index-ides-idphp.php

 Para más información sobre LOPD os recomendamos la web de la Agencia: www.agpd.es

Autor: Victor Villalta - @victorvillalta

Fuente: solucionesecommerce.com

Documento de Seguridad para la aplicación de la Ley Orgánica de Protección de Datos. Ejemplo básico.

El documento de seguridad no debe hacerse por cada fichero que deba isncribirse en la AEPD.

La Organización debe tener un documento de seguridad, es decir, la piedra angular de la seguridad de la información y la protección de datos, que englobe los cargos que asuman responsabilidades, las políticas o procedimeintos que se apliquen para la captación, almacenamiento, tratamiento o cancelación de los datos, y que recoja los requerimientos legales mínimos.

Primero deberéis detectar los datos de caracter personal que tenéis: empleados, socios, beneficiarios, patrocinadores, etc. cada uno de estos bloques supone un fichero, que se determina por la finalidad. Y cada uno debe inscribirse, a nombre de la organización, en la Agencia Española de Protección de Datos.

Después hay que definir el nivel de los datos, para establecer el grado de protección que debáis aplicar, y que definirá cómo habrá de ser vuestro documento d seguridad.

Como ejemplo básico, os recojo cómo puede ser un índice para un documento de seguridad que recola las medidas aplicables a datos de nivel básico, como ejemplo, y con ejemplo de anexos. :

1. INTRODUCCIÓN

2.ÁMBITO DE APLICACIÓN

3. MEDIDAS, NORMAS Y PROCEDIMIENTOS COMUNES DE SEGURIDAD: inventario de ficheros

4.MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS DE NIVEL BÁSICO

4.1. Funciones y Obligaciones del Personal

4.2. Procedimiento de notificación y gestión de incidencias

4.3. Identificación y Autenticación

4.4. Control de acceso

4.5. Gestión de soportes

4.6. Copias de respaldo y recuperación

ANEXO 1: Recursos Protegidos

ANEXO 2: Relación de personal autorizado

ANEXO 3: Catálogo de incidencias

ANEXO 3.1: Formulario de notificación de incidencias

ANEXO 3.2: Registro de incidencias

ANEXO 4: Funciones y obligaciones del personal

ANEXO 5: Formulario de alta, baja o modificación de usuarios

ANEXO 6: inventario de soportes

ANEXO 6.1: Registro de entrada de soportes

ANEXO 6.2: Registro de salida de soportes

ANEXO 7: Histórico de Auditorías

ANEXO 8: Controles periódicos de verificación

ANEXO 9: Flujo de información 71

ANEXO 10: Versiones del documento de seguridad

ANEXO 11: Notificación de creación, supresión o rectificación de ficheros al RGPD

ANEXO 12: Modelos de ejercicio de derechos para los interesados

ANEXO 13: Modelos de respuesta ante el ejercicio de derechos

Podrá hacerse más o menos sencillo, acorde con las posibilidades y necesidades de la Organización, pero siempre cumpliendo con la LO 15/1999 y RD 1720/2007.

Para ayudaros, podéis usar el MODELO DE DS que publica la AEPD,

y usar la guia de seguridad,