Beatriz Redondo Tejedor

// Head of Content

De vez en cuando, la protección de datos acapara todos los titulares y siembra el pánico en el mundo del marketing. Lo vivimos con el RGPD y parece que cada cierto tiempo toca volver a vivirlo con cambios que llegan de otros lugares, como Estados Unidos.

Con todos los países, normativas y regulaciones que existen, es difícil estar al día de lo que ocurre y entender bien cómo pueden afectar al funcionamiento de tu empresa. Pero no te preocupes, que para eso estamos nosotros.

¿Cómo es la protección de datos personales en Estados Unidos?

La protección de datos en Estados Unidos es un escenario complejo. Por un lado, porque, a ojos europeos, los estándares de protección de información personal siempre han sido más laxos, más aún desde que entró en vigor el RGPD. Por otro lado, porque en Estados Unidos las normas y reglas para el tratamiento de datos varían entre estados, lo que implica diferentes niveles de seguridad y exigencias dependiendo de dónde opere cada empresa.

Hace año y medio, la protección de datos en Estados Unidos volvió a saltar a las portadas cuando Donald Trump firmó una ley para permitir a los proveedores de servicios de Internet (ISP) vender datos de los consumidores sin consentimiento previo, invalidando así una norma impulsada por Obama que dictaba lo contrario. Aunque las empresas de Internet como Facebook y Google ya tenían acceso a este tipo de información y recopilaban datos de los consumidores sin tener que pedir permiso, ahora los ISP pueden ir más allá y acceder a la información completa sobre todos los sitios web que visita un consumidor.

La Comisión Federal de Comunicaciones (FCC, una agencia independiente del gobierno de EE. UU.) apoyó la decisión de invalidar esta parte del plan de la era Obama para regular Internet. Según Ajit Pai, su nuevo director, la normativa impulsada por Trump favorecería que la competencia en el mundo digital fuera más equilibrada.

Sin embargo, defensores de los derechos de Internet, incluidos el ex-presidente del FCC, se han mostrado indignados por esta ley, que tachan de norma para beneficiar a las corporaciones frente a los internautas.

Por otro lado, la FCC también declaró en su momento que colaboraría con la Comisión Federal de Comercio para devolverle su poder de vigilancia en Internet y dejar que “el mayor experto en privacidad de Estados Unidos vuelva a tomar las riendas”.

Cambios en las políticas de protección de datos en los diferentes estados

A pesar de que el Departamento de Comercio parece haber empezado ya a trabajar en diseñar el marco legislativo que regulará la recogida y el tratamiento de datos en Estados Unidos, a nivel federal, lo cierto es que las últimas noticias han llegado directamente desde los estados.

Obviamente, la gran diferencia entre Estados Unidos y la Unión Europea radica en las competencias a la hora de legislar, que en el caso de Europa recaen sobre el Parlamento Europeo y en el caso de Estados Unidos compete a los estados.

Lo que esto provoca es que, mientras que en la UE contamos con “una norma para gobernarlos a todos” (no podíamos resistirnos… 😉), en EE. UU. cada estado cuenta con su propia legislación de protección de datos a la que debe acogerse.

A raíz de la aprobación del RGPD, y las presiones desde Europa por un endurecimiento de las normativas, varios estados modificaron sus leyes o introdujeron cláusulas nuevas. Sin embargo, el gran cambio llegó en verano de 2018, cuando California aprobó el California Consumer Privacy Act (CCPA), una norma inaudita en Estados Unidos por imponer, por primera vez, niveles de protección de datos muy similares a los presentes en el RGPD.

Aunque el caso de California sigue siendo único, no es el único estado que ha endurecido su normativa en los últimos tiempos. Por ejemplo, Arizona ha introducido un nuevo sistema de notificación en caso de fallo de seguridad, mientras que Vermont ha aprobado leyes para exigir mayor transparencia a quienes tratan con información personal de los usuarios.

¿Cómo afectan las normas de protección de datos entre EE. UU. y la UE?

Como seguro que ya sabes, porque no nos cansamos de hablar de ello, toda empresa que recopile datos de ciudadanos de la Unión Europea debe cumplir con lo estipulado en el Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo de 2018.

Antes de la llegada del RGPD, la transferencia de datos entre Estados Unidos y la Unión Europea estaba regulada por un tratado conocido como el Privacy Shield, que ofrecía a las empresas una forma de auto-certificarse anualmente para garantizar el cumplimiento de una serie de normativas de protección de datos.

Hoy en día, sin embargo, Privacy Shield ha quedado en un segundo plano por la obligatoriedad de cumplir con el RGPD. Aunque se revisa anualmente y ha sufrido múltiples modificaciones en los últimos tiempos para adecuarse a los estándares de la normativa europea, la auto-certificación sigue generando dudas por sus pocas garantías legales a efectos prácticos. Hoy en día, Privacy Shield ha quedado como un extra para aportar mayor fiabilidad a sus clientes.

Data control

¿Quieres conocer la historia de Privacy Shield?

Hemos hablado bastante de Privacy Shield en el blog de Mailjet. Su predecesor, Safe Harbor, se invalidó el 6 de octubre de 2015. De hecho, antes de que entrara en vigor el Reglamento General de Protección de Datos, Privacy Shield solía ser una fuente habitual de noticias (y algo de drama) en lo relativo a la transferencia de datos a nivel internacional.

Aquí tienes un repaso cronológico a las idas y venidas entre EE. UU. y la Unión Europea en materia de protección de datos:

También te puedes suscribir a nuestra newsletter para enterarte antes que nadie de las novedades en materia de protección de datos.

¡Sí! Envíame la newsletter de Mailjet. Acepto expresamente recibir la newsletter y sé que puedo darme de baja fácilmente en cualquier momento.

Suscribirse a la newsletter de Mailjet

¡Sí! Envíame la newsletter de Mailjet. Acepto expresamente recibir la newsletter y sé que puedo darme de baja fácilmente en cualquier momento.

¿Cómo pueden asegurarse las empresas de estar cumpliendo con las normativas?

Desde la llegada del RGPD, la respuesta a esta pregunta es más sencilla de lo que pueda parecer. Independientemente de dónde se encuentre tu negocio, si tu empresa recoge o trata información personal de ciudadanos de la Unión Europea, es imprescindible que cumpla con los requerimientos del Reglamento General de Protección de Datos.

Uno de los puntos más importantes para estar en conformidad con el RGPD es trabajar con proveedores externos que también puedan garantizar su cumplimiento. Echa un vistazo a la política de privacidad de tus proveedores externos (deberías poder encontrarla en su sitio web) para ver cómo tratan y almacenan tus datos personales.

¿Cómo puede ayudarte Mailjet?

En el caso de tu ESP, trabajar con proveedor europeo te ayudará a asegurar el máximo nivel de seguridad. Mailjet, por ejemplo, cuenta con unas Condiciones Generales de Uso y una Política de Envíos a los que tendrás que ceñirte para poder enviar tus emails. Puede que esto te parezca un tostón, pero cumplir con la legislación de datos te beneficia como empresa.

Además, Mailjet fue la primera empresa en el mundo en recibir la certificación AFAQ de AFNOR, que garantiza el cumplimiento de los principios fundamentales del RGPD. Además, Mailjet cuenta con la certificación ISO 27001, que asegura el máximo nivel de seguridad.

Si quieres estar al tanto de las novedades en materia de protección de datos, pero no quieres consultar la prensa todos los días, suscríbete a nuestra newsletter y te mandaremos todas las actualizaciones que os afectan a ti y a tu empresa.

¿Quieres compartir tus dudas y lo que has aprendido acerca de la protección de datos? Escríbenos por Twitter y cuéntanoslo.