e-conomía Empresa

Muchas PYMEs desconocen cómo les afecta la anulación del ‘Safe Harbor’

europe-609118_1280
Escrito por Marcos Merino

Los organismos de protección de datos de la UE anuncian la concesión de un margen de 3 meses a la Comisión Europea y EEUU para alcanzar un nuevo acuerdo.

El pasado 7 de octubre, una batalla judicial iniciada por el joven abogado irlandés Max Schrems generaba una decisión con amplias repercusiones: la anulación del acuerdo de Safe Harbor (o ‘Puerto Seguro’) en base al cual las instituciones europeas llevaban años permitiendo la transferencia de datos personales de ciudadanos europeos a EEUU. No han faltado desde entonces análisis sobre cómo afectará las grandes compañías como Facebook (protagonista de la batalla judicial que ha generado la sentencia) o Google, pero persisten las dudas su efecto sobre los bloggers, PYMEs y autónomos europeos que, en su día a día, hacen uso de plataformas estadounidenses para tratar y almacenar datos confidenciales.

Jose María Larrea, CEO de Qhaceshoy? nos explica: “Muchas startups españolas hacemos uso de SaaS (Software as a Service) que proveen empresas tecnológicas estadounidenses y que resulta crítico para nuestro negocio. A medio plazo, la anulación del Safe Harbour nos puede afectar si a estas empresas no se les permite operar en Europa”. Pero Larrea aclara que en Qhaceshoy? no se están planteando aún medidas como la búsqueda de servicios alternativos a los que venían usando: “Estamos a la espera: ni nosotros ni el resto de startups con las que he hablado tomaremos medidas hasta que los gobiernos nacionales no aclaren la situación legal“. Y concluye: “Es un tema espinoso del que mucha gente aún no se ha enterado, y que todavía va a colear un tiempo”.

Para conocer las repercusiones legales a las que están expuestos, desde TICbeat nos hemos puesto en contacto con Ángel Benito Rodero (abogado especializado en TICs, blogger jurídico y responsable de un popular portal en el ámbito de habla hispana), quien explica que “Safe Harbor no era más que un mecanismo de autorregulación”, dado que eran las empresas estadounidenses las que se adherían voluntariamente, comprometiéndose a cumplir ciertos requisitos, y que lo ocurrido es sencillamente que el Tribunal de Justicia de la UE ha dictaminado dicho mecanismo “es insuficiente para garantizar ciertos derechos fundamentales de los ciudadanos de la UE, ya que las empresas adheridas luego tienen que cumplir allí también, en EEUU, con estrictas normas de seguridad nacional”.

Tribunal de Justicia de la Unión Europea

Tribunal de Justicia de la Unión Europea

Impacto jurídico de la sentencia Schrems

Con esta decisión -explica Ángel Benito- miles de ciudadanos, empresarios, profesionales, PYMEs y grandes compañías europeas ven ahora cómo la transferencia de datos a datacenters de EEUU queda sin sustento jurídico: “ahora hay que ver con qué mecanismos cuentan los particulares y las empresas para continuar usando servicios que operen una transferencia de datos a esos servidores“.

“Otro punto importante de la sentencia Schrems”, señala, “es que viene a reforzar el papel de las distintas agencias de protección de datos de los países europeos, para decidir si una determinada empresa situada fuera del espacio jurídico europeo ofrece un nivel de protección adecuado. Así que parece que habrá que obtener la legitimación para operar dicha transferencia por otras vías previstas en la normativa de protección de datos europeas y en en el Reglamento que desarrolla la LOPD”.

Pasos a tomar por bloggers, autónomos y PYMEs

Las grandes empresas cuentan con amplio equipos jurídicos que han reaccionado con rapidez ante la sentencia, pero, como señala Ángel Benito, “hay aún muchísimos bloggers, PYMEs, administradores de tiendas online, etc, que no han advertido que tienen que tomar medidas para evitar posibles sanciones en el futuro” por el uso de herramientas online tan básicas como las plataformas para la gestión de comentarios, de alojamiento de archivos, de newsletters, etc. “No olvidemos que la transferencia internacional de datos personales sin autorización constituye infracción muy grave que puede ser sancionada con multas de entre 300.506,25 y 601.012,10 €”.

Su consejo es que “identifiquen y documenten cualquier uso que hagan de servicios, plataformas, aplicaciones, almacenes digitales de datos, cookies, etc, que alojen datos de sus usuarios (o incluso empleados) en servidores y datacenters situados en suelo extracomunitario”, y que procedan a realizar una comprobación de dichos servicios, caso por caso y ver en qué país se alojan sus bases de datos. Una vez hecho eso, se les plantea una disyuntiva:

  • Hacer uso de plataformas y servicios sustitutivos que alojen los datos de los usuarios en suelo de la UE.
  • Recurrir a alguno de los mecanismos de legitimación de la transferencia internacional de datos de la LOPD y su Reglamento de desarrollo. “Se espera alguna recomendación general o nota divulgativa de la AEPD sobre este asunto para aclarar la situación, como hizo con la Guía sobre el uso de cookies”.
Mailchimp, una popular herramienta afectada por la anulación del Safe Harbor

Mailchimp, una popular herramienta afectada por la anulación del Safe Harbor

Y ahora, ¿qué?

“La cuestión de fondo que subyace en la sentencia Schrems es una cierta desconfianza hacia las autoridades públicas estadounidenses”, pero “la Comisión Europea llevaba ya años negociando con Estados Unidos en lo que se refiere al libre comercio entre los dos grandes espacios. Es de prever que no tardemos en ver unos nuevos acuerdos que sustituyan a los de Safe Harbor y, al menos, con más garantías de protección adecuada de los derechos de los ciudadanos europeos”.

A última hora del viernes, pocas horas después de recoger estas declaraciones, los organismos de protección de datos de la UE reunidos en Bruselas anunciaban la concesión de un margen de 3 meses a la Comisión Europea y EEUU para alcanzar un nuevo acuerdo que permita mantener la transferencia de datos:

“Si a finales de enero de 2016 el Grupo de Trabajo no ha alcanzado una solución adecuada en conjunto con las autoridades estadounidenses, los organismos de protección de datos de la UE se han comprometido a tomar todas las medidas necesarias, que pueden incluir acciones judiciales coordinadas”.

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.

  • Miguel Ángel Rubio Lax

    Yo he estado leyendo decenas de artículos y la verdad que por miedo a posibles sanciones he pasado de MailChimp a teenvio que se que es española y no les afecta el problema del Safe Harbor.