Emailing
¿Qué es el ‘Safe Harbor’ y cómo puede afectar a su negocio?
El acuerdo de Safe Harbor. ¿Cómo afecta esto a las grandes empresas de Internet? Y más importante todavía, ¿cómo afecta a su negocio?
El 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJUE) citó a Snowden y al espionaje de la Agencia de Seguridad Nacional (NSA), dictaminando la invalidez de un arraigado acuerdo Safe Harbor entre Europa y Estados Unidos, el cual permitía la transferencia y procesamiento de datos entre servidores del continente y del país norteamericano.
El acuerdo Safe Harbor, establecido por primera vez en el año 2000 por la Comisión Europea, permitía a las empresas estadounidenses certificar personalmente que cumplían con los estándares europeos en lo referente a la protección de datos personales. Más de 5000 empresas estadounidenses "certificadas personalmente" necesitarán encontrar una solución alternativa para poder hacer negocios dentro de la UE.
¿Cómo afecta esto a las grandes empresas de Internet? Y más importante todavía, ¿cómo afecta a su negocio?
¿Qué era el acuerdo Safe Harbor?
La ley de privacidad europea no permite la transferencia de datos de sus ciudadanos fuera de la UE, a no ser que dichos datos se dirijan a otra ubicación que se considere con políticas de privacidad "adecuadas".
El acuerdo Safe Harbor entre el Tribunal Europeo y Estados Unidos se basaba en su totalidad en un programa de certificación personal de las empresas norteamericanas. Dicho programa facilitaba la transferencia de datos personales de clientes europeos a servidores y centros de datos ubicados en Estados Unidos.
Los gigantes de la tecnología y otras empresas de gran envergadura como Facebook, que siempre se habían certificado personalmente bajo el Safe Harbor, han anunciado que se darán prisa en modificar las cláusulas para proteger los datos europeos y adherirse a las políticas de privacidad bajo esta nueva ley.
¿Qué sucede ahora?
El regulador de privacidad de la UE se ha establecido para reemplazar Safe Harbor a finales de enero. El nuevo pacto seguramente sea una versión restringida del proceso de transferencia de datos.
A partir de ahora, los europeos podrán denunciar a cualquier empresa que consideren que no garantiza un nivel de protección adecuado, mediante la Directiva de la UE 95/46/CE. Esto significa que cualquier empresa europea que transfiera datos personales a un proveedor de servicios estadounidense se encuentra automáticamente en situación de riesgo (por ejemplo, contabilidad, CRM, compras, software de RR. HH., almacenamiento en la nube, marketing online y recopilación de datos de clientes).
A cada estado miembro de la UE se le ha asignado la tarea de decidir si desea suspender las transferencias de datos a Estados Unidos, teniendo en cuenta que es posible que las empresas incluyan otras medidas de transferencia, como "Regulaciones obligatorias de empresa" o "Cláusulas del modelo de la UE":
Tras el juicio Schrems contra Facebook, el cual tuvo lugar en el Tribunal de Justicia de la Unión Europea, las Autoridades de Protección de Datos (en la Schleswig-Holstein Länder) han declarado que cualquier tipo de solución alternativa para transferir datos a EE. UU. se considerará ilegal. Además, también han advertido a empresas y organismos del gobierno que se les puede sancionar con hasta 300 000 € por la transferencia de datos personales a Estados Unidos "sin ninguna base legal". No obstante, esta posición solo concierne a una de las APD alemanas existentes (hay una por Länder).
La Information Commissioner’s Office de Reino Unido (ICO-APD británicas) declaró que "las empresas que usen Safe Harbor deberán revisar cómo asegurar que la transferencia de datos a EE. UU se ajuste a lo establecido por ley". Las empresas, especialmente aquellas que formen parte de industrias muy reguladas, como el sector financiero, han recurrido a los proveedores de soluciones locales a partir de la resolución. Really Simple Systems, el proveedor británico de Saas, ya ha visto cómo un gran número de clientes del equipo de ventas ha abandonado el barco.
Las APD europeas, entre las que se incluyen la Commission Nationale de l’Informatique et des Libertés (CNIL) francesa, se reunieron el 15 de octubre para analizar las consecuencias de la decisión del TJUE tomada el 6 de octubre de 2015. Han invalidado Safe Harbor y adoptado una declaración común, solicitando a las instituciones europeas y a los organismos reguladores que encuentren soluciones legales y técnicas para finales de enero de 2016. A corto plazo, se darán más noticias al respecto.
Mi empresa también opera en la UE. ¿Me afecta la invalidación del acuerdo Safe Harbor europeo?
Como proveedor de servicios de correo electrónico, no podemos ofrecer ningún tipo de asesoramiento legal, por lo que le animamos a que consulte con su abogado para así obtener todo la información posible sobre cómo esta situación puede afectar a su negocio, así como los pasos necesarios a seguir. Mientras tanto, hemos recopilado unas pautas generales para ayudarle a identificar las posibles zonas de impacto y cómo buscar cumplimiento regulatorio, de ser necesario.
Según la UE/EEE, primero debe determinar el tipo de datos que recopila. Su organización se considera gestora de los datos y usted es responsable de todos los datos que recopila y cómo se transfieren. Antes de tomar medidas y establecer procedimientos nuevos, asegúrese de crear un mapa con todos los datos personales de los clientes que está recopilando ahora o piensa recopilar a futuro, así como dónde se están enviando, almacenando o procesando dichos datos.
Identifique cualquier tipo de "datos personales" que recopilen tanto usted como terceros afiliados a su empresa. Con el auge del software en la nube y más datos almacenados por proveedores de servicios externos, hay muchas posibilidades de que esté enviando datos a los EE. UU.
Si su proveedor de servicios en Estados Unidos recibe, almacena o procesa cualquier tipo de "datos personales" de personas residentes en la UE sin tener los acuerdos de protección de datos correspondientes, deberá obtener un nuevo acuerdo contractual que incluya al menos las cláusulas del modelo de la UE u otros modelos que le permitan transferir datos de manera legal de la Unión Europea a EE. UU. Si su proveedor de servicios tenía el certificado Safe Harbor, seguramente redacten acuerdos y términos nuevos para garantizar su protección. Asegúrese de revisar con detenimiento estos contratos con un asesor legal y tómese el tiempo necesario. Consulte a su regulador nacional y no dude en pedir consejo.
Si no tiene un acuerdo explícito con su proveedor de servicios en EE. UU., la mejor alternativa sea seguramente migrar a un proveedor europeo lo antes posible, para así evitar riesgos de exposición y responsabilidades legales.
Finalmente, le resultará útil recordar las prácticas básicas de email marketing. Recuerde en todo caso que además es obligatorio bajo la ley europea:
El correo masivo no solicitado que se envíe a una empresa se considera correo no deseado y puede estar sujeto a acciones legales.
Las empresas deben obtener el consentimiento explícito (mediante suscripciones) antes de usar los datos de clientes con fines publicitarios. Esto incluye los datos conseguidos mediante interacción por correo electrónico, páginas web, aplicaciones y muchos más. Por ejemplo, si quiere enviar un correo electrónico personalizado basándose en la ubicación de sus contactos, no podrá hacerlo sin el consentimiento de los mismos. Las organizaciones localizadas en la UE deben protegerse a si mismas actualizando sus idiomas durante el proceso de suscripción para incluir permisos para usar esta información y guardar el contenido de correo electrónico meta.
¿Y Mailjet?
Tal y como se indica en nuestra Política de privacidad, los servidores de Mailjet se encuentran exclusivamente en Europa y cumplen estrictamente con las leyes europeas de seguridad de datos personales.
En casos muy excepcionales, es posible que Mailjet transfiera algunos datos a servicios ubicados en EE. UU., para analizar o combatir el correo no deseado, por ejemplo. Cuando estas circunstancias se dieron lugar en el pasado, no nos limitamos a usar la certificación Safe Harbor, sino que además solicitamos el firme compromiso de que la recepción de servicios cumplía con la normativa europea, mediante APD (acuerdos de protección de datos), entre los que se incluyen las cláusulas del modelo europeo.
Si ya es un cliente de Mailjet, sus datos están a salvo, así como los de sus propios clientes o receptores. La invalidación del TJUE del acuerdo Safe Harbor no le influirá en cómo utiliza nuestros servicios. No tiene po qué preocuparse; puede enviar correos electrónicos con toda confianza.
Si no está usando Mailjet, la decisión tomada por el TJUE puede ser una oportunidad de oro para replantearse su estrategia de correo electrónico, examinando cómo se protegen los datos de sus clientes. Para más información, ¡no dude en contactarnos!
¿Los datos de sus emails están a salvo? Obtenga más información acerca de cómo la nueva Safe Harbour de la Corte Europea de Justicia afecta a su negocio.