¿Puedes transferir datos personales de titulares desde la Unión Europea a Estados Unidos? ¿Qué supone usar un servicio de automatización de marketing / email marketing? Antes de responder a estas preguntas, y dado que no todos tenemos las mismas nociones sobre este tema, vamos a explicároslo: # ¿Qué son los datos personales de titulares? # ¿Qué procesos […]
¿Puedes transferir datos personales de titulares desde la Unión Europea a Estados Unidos? ¿Qué supone usar un servicio de automatización de marketing / email marketing?
Antes de responder a estas preguntas, y dado que no todos tenemos las mismas nociones sobre este tema, vamos a explicároslo:
- # ¿Qué son los datos personales de titulares?
- # ¿Qué procesos pueden llevarse a cabo con esos datos personales de titulares?
- # ¿Cuándo tiene lugar la transferencia de datos personales de titulares desde la Unión Europea a Estados Unidos?
Contents
- Primero, ¿qué son los datos personales de titulares?
- ¿Qué procesos pueden llevarse a cabo con esos datos personales de titulares?
- ¿Cuándo tiene lugar la transferencia de datos personales de titulares desde la Unión Europea a Estados Unidos?
- ¿Qué sucede en el caso de E-goi?
- ¿Qué era el Safe Harbour?
- ¿Qué es Privacy Shield?
Primero, ¿qué son los datos personales de titulares?
Son todos los datos asociados a un titular en particular (una persona). Ejemplo: nombre, dirección, NIF… En el caso de E-goi (y cualquier otro proveedor de automatización de marketing o email marketing), incluye todos los datos de los contactos que están en tus listas, campañas o informes.
¿Qué procesos pueden llevarse a cabo con esos datos personales de titulares?
Todas las operaciones (manuales o automáticas) tales como: recogida, registro, almacenamiento, modificación, recuperación, utilización, transmisión, publicación, bloqueo, destrucción y transferencia. Ahora sí vamos a abordar…
¿Cuándo tiene lugar la transferencia de datos personales de titulares desde la Unión Europea a Estados Unidos?
Si usas un servicio de email marketing estadounidense (Mailchimp, AWeber, Constant Contact…) entonces tus servidores están fuera de la Unión Europea. Lo más lógico es que estén en los Estados Unidos. Por tanto, todos los datos (y los procesos sobre esos datos) implican la transferencia de datos personales de titulares desde la Unión Europea a Estados Unidos. Por ejemplo: siempre que un contacto se inscribe en una de tus listas, los datos de ese contacto se registran en un servidor que está en Estados Unidos.
¿Qué sucede en el caso de E-goi?
Con E-goi NO tiene lugar la transferencia de datos personales de titulares desde la Unión Europea a Estados Unidos. Porque nuestros servidores están en Portugal. Es decir, en la Unión Europea. Por lo tanto, cualquier operación que realices en tu cuenta/contactos se lleva a cabo en los servidores de E-goi.
Ahora que ya estamos en la misma página, vamos a responder a:
- # ¿Puedes transferir datos personales de titulares desde la Unión Europea a Estados Unidos?
- # ¿Qué supone usar un servicio de automatización de marketing / email marketing?
Primero vamos a responder a la pregunta «¿Puedes transferir datos personales de titulares desde la Unión Europea a Estados Unidos?» Hasta octubre del 2015 era posible al amparo del Safe Harbour. En octubre del 2015, el Tribunal de Justicia de la Unión Europea invalidó el Safe Harbour. Para resolver este quebradero de cabeza, la Comisión Europea y los Estados Unidos entablaron negociaciones para establecer un mecanismo alternativo. Este mecanismo fue el «EU-US Privacy Shield» (Escudo de privacidad) con fecha de 12 de julio del 2016.
Es lógico que sientas curiosidad sobre:
- # ¿Por qué se invalidó el Safe Harbour? ¿Por qué este suceso es un quebradero de cabeza?
- # ¿Qué diferencias existen entre el Safe Harbour y el Escudo de privacidad?
Pero antes…
¿Qué era el Safe Harbour?
El Safe Harbour fue un acuerdo alcanzado en el 2000 entre la Unión Europea y los Estados Unidos.
El Safe Harbour establecía la normativa que se iba a seguir en las transferencias de datos personales de titulares entre los diferentes países adheridos al acuerdo.
Según estas normas, las empresas que recibían los datos transferidos estaban obligadas a informar a los titulares de esos datos de:
- # Que sus datos estaban siendo recopilados
- # Qué iban a hacer con esos datos (procesos)
- # Pedir autorización para transferir esos datos a una nueva entidad subcontratante (third party processor) o a un nuevo responsable de su tratamiento (third party controller)
- # Autorizar a los titulares de los datos el acceso a ellos
El Safe Harbour garantizaba:
- # La integridad y seguridad de los datos
- # Que esas empresas cumplían lo establecido en el acuerdo
¿Qué falló en el Safe Harbour para ser invalidado en octubre de 2015? Vamos a responder a eso. Pero primero vamos a responder a la pregunta…
¿Qué es Privacy Shield?
El Privacy Shield es una autocertificación para empresas estadounidenses que pretenden tratar datos personales: facilita la transferencia de esos datos y las obliga a protegerlos.
¿Qué es una autocertificación?
En una autocertificación, el proveedor lleva a cabo el control y garantiza la calidad del producto/servicio suministrado. En la práctica, las empresas estadounidenses garantizan la privacidad de los datos personales que reciben desde la Unión Europea.
¿Cómo garantizan esa privacidad?
Se les obliga, por ejemplo, a limitar la finalidad del tratamiento de datos. También deben facilitar los mecanismos de fiscalización que garantizan el cumplimiento de esos principios, así como proporcionarles a los titulares de los datos los medios contra el tratamiento de datos ilegítimos. En otras palabras, garantizan que:
- # Los derechos de los titulares están protegidos
- # Todos los procesos son transparentes (transferencia de datos y certificación de las empresas estadounidenses)
- # Las autoridades de los Estados Unidos solo podrán acceder a los datos personales transferidos únicamente en situaciones especiales (vinculadas a fines de seguridad nacional). Este acceso estará supervisado y se protegerán los intereses de los titulares. Es decir, no se podrá acceder indiscriminada o masivamente a esos datos
- # Las empresas estadounidenses incumplidoras serán sancionadas y podrán perder la certificación
- # Las retransferencias de datos personales estarán limitadas a situaciones excepcionales y jamás podrán romper o alterar los derechos garantizados a los titulares, ya sean retransferidos esos datos a una nueva entidad subcontratante (third party processor) o a un nuevo responsable de su tratamiento (third party controller), e independientemente de ser retransferidos dentro o fuera de los Estados Unidos.
¿Cuál es la diferencia entre el Safe Harbour y el Privacy Shield?
El Privacy Shield prevé mejoras en los mecanismos de reacción y compensación para los titulares de los datos, mejoras ausentes en el Safe Harbour. Por ejemplo:
- # Las empresas estadounidenses que traten estos datos están obligadas a responder a las reclamaciones de los titulares dentro de un plazo máximo de 45 días.
- # Alternativamente, los titulares podrán recurrir a una entidad independiente para la resolución de litigios (que podrá estar ubicada en los Estados Unidos o en la Unión Europea). Dichos recursos estarán libres de costas.
- # Los titulares también pueden recurrir ante las autoridades de protección de datos personales nacionales de la Unión Europea (como la AGPD, en el caso de España), que cooperarán con las autoridades estadounidenses para encontrar soluciones para las reclamaciones, que garanticen una investigación apropiada y una decisión célere.
- # En última instancia, se podrá recurrir al arbitraje, dirimido por el designado como «Privacy Shield Panel» (formado por entre 1 y 3 árbitros, escogidos de una lista creada por el Departamento de Comercio estadounidense y por la Comisión Europea), para garantizar una decisión ejecutoria.
También se ha establecido un mecanismo anual de revisión conjunta (entre la Comisión Europea, el Departamento de Comercio de los Estados Unidos y los especialistas europeos y estadounidenses en materia de seguridad nacional). Estos evaluarán si los principios del Escudo de privacidad se están respetando, mediante la promoción de la discusión de cuestiones relacionadas con el acceso a los datos personales por parte de las autoridades públicas. De esta revisión conjunta, y de otras fuentes de información que puedan considerarse relevantes, resultará un informe público que se enviará al Parlamento Europeo y al Consejo de la Unión Europea.
¿Por qué se invalidó el Safe Harbour?
Como fácilmente podemos concluir, el Privacy Shield les garantiza protecciones (a los titulares de los datos) más seguras que el Safe Harbour. No obstante, y siempre que ocurría transferencia de datos personales de titulares entre la Unión Europea y los Estados Unidos, ¿qué tipo de proteción tenían los titulares entre octubre del 2015 (cuando el Safe Harbour fue invalidado) y julio del 2016 (cuando el Escudo de privacidad fue aprobado)?
¡Pues sí…! Un verdadero quebradero de cabeza. En la práctica, si usabas un servicio de automatización de marketing / email marketing estadounidense (Mailchimp, Aweber y Constant Contact…), entonces, ¿cuál era la protección de tus datos (y los datos de tus contactos)? Y si hubiera incumplimiento de confidencialidade, ¿a quién le reclamarías?
¿Podrá igual con el Privacy Shield?
A partir del 1 de agosto del 2016, el Departamento de Comercio de los Estados Unidos empezó a aceptar certificaciones de organizaciones estadounidenses en el ámbito del Privacy Shield.
Entonces, ¿cómo te puedes proteger?
La mejor forma de proteger (tus dados, así como los datos de tus contactos) es escoger un servicio de automatización de marketing / email marketing con servidores en la Unión Europea. Como en el caso de E-goi. Y, por cierto… puedes consultar nuestros deberes/derechos, tus deberes/derechos, garantías, indemnizaciones y recursos de arbitraje AQUÍ.