Privacy Shield sustituye a Safe Harbor desde julio de 2016

Nuevo acuerdo entre Europa y US para la transferencia de datos personales

Ya tenemos un sustituto para Safe Harbor, marco legal sobre la transferencia de datos personales. En octubre del 2015 el Tribunal de Justicia de la UE declaró inválida la protección de datos y la privacidad de las personas de aquellos ciudadanos europeos transfiriendo datos a empresas en US. Safe Harbor era un protocolo de seguridad al que cualquier empresa estadounidense se podía adherir. Empresas como MailChimp, Google y Zoho, entre otros, se habían adherido a este protocolo para que los datos de empresas españolas cumplieran con toda la normativa en materia de protección de datos y privacidad.

Privacy Shield es el nuevo marco legal vigente desde julio de 2016 que sustituye a Safe Harbor y que ha sido diseñado por la Comisión Europea y el Departamento de Comercio de US para proveer a empresas europeas y norteamericanas de los mecanismos legales suficientes para cumplir con los requerimientos de protección de datos y privacidad exigidos por la Unión Europea en la transferencia de datos de Europa a US. Según la Comisión Europea el nuevo marco implica más obligaciones a las empresas estadounidenses, como el plazo obligatorio para responder a reclamaciones y una mayor colaboración con las autoridades de protección de datos.

Por lo tanto, todas aquellas empresas que estén adheridas a Privacy Shield no necesitarán de la autorización de la Agencia Española de Protección de Datos. Entre las primeras empresas en certificarse encontramos a Microsoft y Salesforce, dos de las cuarenta empresas que cumplen con la nueva normativa. Otras como Google, MailChimp, Zoho o Facebook están todavía en proceso. Aquí tienes el listado de las empresas que ya cuentan con la certificación.

Como usuario aquí tienes tus derechos bajo el nuevo marco legal
https://www.privacyshield.gov/article?id=My-Rights-under-Privacy-Shield

¿Y qué pasa con las empresas que utilizan MailChimp, ZohoCRM, Google Aps?

Al disolverse el marco legal en octubre de 2015 las empresas están obligadas a declarar la transferencia internacional a la Agencia de Protección de Datos, además se exige una autorización especial del proveedor donde la empresa tiene alojada los datos. Esta autorización es muy difícil de obtener, por lo que ahora mismo muchísimas empresas están inclumpliendo con la Agencia Española de Protección de Datos (AEPD).

De todas formas, tampoco hay que alarmarse y hacer caso de algunos comentarios que anuncian que la AEPD ha prohibido la utilización de aplicaciones como Dropbox o Google Apps. En respuesta a estos rumores, la AEPD publica este post.

¿Qué podemos hacer mientras nuestras aplicaciones en la nube (ZohoCRM, MailChimp…) no cumplan con el nuevo protocolo?

Lo más adecuado es notificar en la AEPD que se está realizando una transferencia internacional de datos a empresas en US. Al rellenar el certificado debes apuntar que el responsable del fichero de datos personales es la empresa donde alojas la información como encargada del tratamiento del fichero. Aquí tienes el enlace que puedes realizar en la sede electrónica.

Además, deberías firmar un contrato con las empresas donde tengas alojada información en cloud siguiendo el siguiente contrato recomendado por la AEPD:

Contrato con el proveedor de la aplicación en cloud

Mientras las empresas se van certificando, estoy realizando consultas a los principales proveedores de servicios en la nube. En este post iré actualizando las respuestas de cada uno.

Salesforce
Estado: Certificada
Tal y como aparece en este listado, Salesforce ya dispone de la certificaciónPrivacyShield.

Listado de empresas con la certificación

MailChimp
Estado: Pendiente
Email de contacto: legal@mailchimp.com

A continuación adjunto la respuesta a la consulta sobre el cumplimiento de la nueva normativa:

«Hello Tirso,

Thank you for contacting us.

We’ve been watching the development of the Privacy Shield very closely and are still in the process of assessing the recently approved EU-US Privacy Shield agreement, including the requirements for complying with the program.

As you might know, US companies cannot start applying to the US Department of Commerce to participate in the program until after August 1. Based on our current review of the agreement, we fully expect that MailChimp will be able to certify its compliance relatively soon after this date.

As more information becomes available, we will update our website and policies accordingly for our customers.

Regards,
MailChimp Legal Department»

De todas formas, he encontrado en su web la posibilidad de firmar un contrato sobre el tratamiento de la privacidad que puede que nos ayude en caso de recibir alguna denuncia:

http://mailchimp.com/legal/forms/data-processing-agreement/?_ga=1.192875626.1764872559.1463763413

Zoho (Zoho CRM y Zoho Campaigns)
Estado: En proceso
Email: legal@zohocorp.com

Contestaron a mi petición y he recibido el contrato a firmar para cumplir con toda la normativa exigida por la Comisión Europea. Por lo tanto, cualquier empresa puede estar «cubierto» hasta la certificación final de zoho.

Este es el email recibido:

«Hi Tirso,

We have prepared the attached Data Processing Addendum (DPA) which incorporates the EU Model Contractual Clauses, by signing which we can make sure that we comply with the EU privacy laws. Please sign and send us a copy for counter signing.

Also, we are working with Truste on the new Privacy Shield that has replaced the US-EU Safe Harbor framework.

Thanks,

Zoho Corporation»

Google Apps
Estado: Pendiente

Conclusiones:

Dado que el objetivo de la AEPD no es la de prohibir la utilización de aplicaciones en la nube como Dropbox o Gmail, tal y como publican la propia Agencia en este post, sostengo la idea de que durante este proceso de certificación de los principales proveedores, no van a perseguir al pequeño empresario que recurre a aplicaciones en cloud por no  tener la capacidad de mantener un departamento de informática en la empresa.