• La gran incógnita. Dejar de usar Dropbox, Google Drive o Mailchimp o NO

    Se ha estado hablando y especulando mucho sobre si es legal o no utilizar herramientas alojadas en países no seguros (básicamente hablamos de Estados Unidos) debido a la resolución del tribunal europeo del día 6 de Octubre de 2016 en la que se declaraba invalidado el acuerdo Safe Harbor. El problema principal no es que las empresas no cumplan con las leyes (cosa discutible), es que los países no cumplen con la ley.

    La agencia española de protección de datos enseguida tomó cartas en el asunto y se apresuró a avisar a las empresas que habían declarado ficheros con transferencia internacional de este nuevo entorno y de la necesidad de “adecuarse” a la ley antes del 29 de Enero, fecha límite para regular el uso de estos servicios según la Ley Orgánica (principalmente obteniendo el consentimiento expreso de la directora de la AEPD) o a través de alguna de las excepciones indicadas en la propia ley (al tratarse de excepciones se debe tener mucho cuidado porque ante cualquier posible problema la resolución puede verse alterada en base a interpretaciones).

    Con todo esto nos surge la siguiente duda ¿podemos utilizar Dropbox, Google Drive o MailChimp en nuestra empresa? Hasta ahora, la respuesta oficial era sí, pero nuestro consejo siempre fue evitar en la medida de lo posible utilizar estas herramientas.

    Nota! A pesar de este panorama, tenemos una buena noticia: ya están trabajando en un nuevo acuerdo para las transmisión de datos entre estos países según ha informado la Comisión Europea el 2 de Febrero.

    Esta noticia nos hace ver la luz al final del túnel. Y es que está claro que empresas tan importantes como Google o Mailchimp no están dispuestas a perder un mercado tan jugoso con Europa. Por ello, se abre un nuevo escenario de duda sobre el uso de estas herramientas. ¿Qué hacemos en este punto de tierra de nadie? La ley dice que no debemos utilizarlas, pero una migración de estos servicios, en muchos casos, es un proceso complejo y tedioso, debiendo realizar un importante esfuerzo de recursos y económico.

    Ante todo, debe constar esta es una reflexión personal de @xandrucancelas y en ningún caso pretendemos que sea una biblia a seguir al pié de la letra porque se trata de un razonamiento sobre la lógica (personal) y apoyado en alguna de las excepciones que incluye la ley -que como hemos dicho anteriormente, no es una opción 100% fiable-.

    Situación actual

    La situación actual es que la agencia reconoce a EEUU como país no seguro, complicando a las empresas que utilizan servicios en dicho país la adecuación a la ley. En el mes de octubre se notifica a estas empresas que se deben adaptar al nuevo escenario, con fecha máxima de 29 de Enero. El 2 de Febrero se publica el principio de acuerdo para trabajar en un nuevo marco regulatorio.

    Pasos a seguir

    Hay muchas empresas que no podrían operar sin utilizar este tipo de servicios o que su ventaja competitiva se basa en el uso de ellos y realizar una adaptación y cambio de estos sistemas costaría mucho tiempo (estamos hablando de más de 6 meses) y dinero (realizar un cambio de infraestructura y aplicaciones). Todo ello no impide que estas herramientas (o servicios) estén en países no seguros y queramos garantizar la seguridad de los datos de nuestros clientes, nuestro principal activo.

    Lo primero que debemos hacer es definir un plan de migración en el que veamos el alcance que tiene para nuestro negocio dejar de utilizar estas herramientas. En este punto puede suceder que veamos viable o no dicho cambio.

    En caso de decidir cambiar a herramientas alojadas en países seguros (y, por supuesto, que ellas mismas cumplan con los requisitos legales en materia de protección de datos). En este caso solo decirte “genial!”.

    Si, en cambio, hacer una migración nos resulta demasiado complejo, costoso o, simplemente, inviable, creo que deberíamos aplicara lógica y poner todas las medidas que estén a nuestro alcance para la que debe ser nuestra mayor preocupación, cuidar los datos de nuestros clientes. Por ello, vamos a intentar definir las acciones a realizar para trabajar con herramientas como Dropbox o MailChimp lo más cercano a la ley posible.

    • Lo primero de todo, debemos contar con un “plan de migración” que nos justifique la imposibilidad de modificar nuestra estructura y aplicaciones para utilizar otro tipo de herramientas.
    • Notificar al Registro General de Protección de Datos la modificación de la inscripción del fichero, en cuyo apartado 10 “Transferencia Internacionales” deberá proceder a suprimir la referencia relativa a “Puerto Seguro”.
    • Por supuesto, debemos disponer de un contrato con la empresa responsable del servicio.
    • Una de las excepciones a la ley para el uso de servicios en países no seguros hace referencia a la necesidad de informar expresamente a los usuarios de esta del uso de estas herramientas, de por qué las utilizamos y qué datos recogemos. El consentimiento habrá de ser libre, inequívoco, específico e informado -no se indica que deba ser expreso-. En caso contrario, debemos eliminar los sus datos de dicha herramienta.

    Con todo ello, se debe entender que la empresa está aplicando todas las medidas a su alcance para proteger los datos de sus usuarios sin tener que cesar su actividad. Además debemos tener en cuenta que (se espera) no tardará demasiado en haber un nuevo acuerdo para la transferencia de datos con estos países, por lo que, las autoridades oportunas deben ser conscientes de que, para muchas pequeñas empresas y autónomos, adaptar todos los sistemas resulta muy costoso y es posible que en algunas semanas haya resultado una pérdida de tiempo, dinero y ventaja competitiva.

    La discusión está abierta, ¿cómo nos adaptamos a la ley con el uso de herramientas como Dropbox, Google Drive o Mailchimp? ¿cómo lo harías tú?

    facebooktwittergoogle_pluslinkedinby feather Published by:
  • ¿Se pueden almacenar fotocopias de tarjetas de credito sengún LOPD?

    Muchos negocios, debido al tipo de cliente y responsabilidad que manejan requieren almacenar datos de tarjetas de crédito de los mismos durante un periodo de tiempo.

    Este es el caso de empresas hoteleras, empresas de renting de vehículos y otras que requieren de una garantía tras el disfrute de los servicios por parte del cliente.

    La LOPD en ningún momento dice que no se pueda almacenar algún dato de los clientes, siempre y cuando la finalidad de su almacenamiento esté justificada por la actividad o el servicio ofrecido por la empresa.

    Medidas de seguridad

    Es este caso, aunque a nivel de seguridad de LOPD son datos de nivel básico, podemos considerar las tarjetas de crédito como un dato sensible y por tanto, en nuestra opinión, aplicar medidas de seguridad adicionales.

    En caso de que recojamos los datos manualmente, a través de fotocopias o registrado en la ficha del cliente, lo ideal sería guardar los datos en un armario que disponga de cerradura o candado. Además, si podemos introducirlos en un archivador con llave, mucho mejor.

    En caso de que la solicitud de los datos de la tarjeta de crédito sea vía telemática, es recomendable hacerlo a través de la pasarela de pago del banco o alguno de los servicios de pago online, como Paypal o Stripe. En caso de ser nosotros mismos quienes gestionemos el pago, es importante disponer de un certificado SSL (la web aparece como https://) y que los datos se almacenen guardados bajo algún algoritmo de cifrado.

    Recordemos que en caso de que accedan a los datos que tenemos guardados, podrían utilizar dichas tarjetas para realizar compras indebidas a nuestros clientes y la responsabilidad puede caer sobre nosotros.

    ¿Durante cuánto tiempo se deben almacenar las tarjetas de crédito?

    Aunque no existe un límite de tiempo exacto, los datos se pueden almacenar mientras la persona sea cliente nuestra o durante un tiempo adecuado al servicio que se ha prestado. Si hemos vendido un producto online, lo lógico sería mantener el número de tarjeta hasta la finalización del periodo de devolución del artículo. Si es un cliente que realiza pagos recurrentes, se mantendrán mientras sea cliente. Si es un cliente que ha alquilado un vehículo, durante un tiempo razonable que permita a la empresa asegurarse de que el cliente no ha dejado ningún desperfecto o ha incurrido en alguna ilegalidad y pueda ser sancionado por una multa. No hay ninguna regla escrita, todo depende del tipo de negocio y del fin de los datos.

    Notificación a los clientes

    En todo caso, los clientes deben conocer qué datos suyos estamos almacenando y para qué finalidad. En este caso, en los textos legales correspondientes a política de privacidad, debemos incluir la notificación de la recogida de datos de la tarjeta de crédito del cliente y qué finalidad tiene la misma.

    Otras consideraciones

    Como cualquier otro dato personal recogido, se debe informar a la AEPD, disponer del documento de seguridad en el que se indica, entre otros, qué personas tienen acceso a los datos, dónde se almacenan, etc., ofrecer los derechos ARCO al cliente y, por supuesto, obtener su autorización.

    Conclusiones

    Se pueden almacenar tarjetas de crédito de nuestros clientes, pero debemos informar al cliente de su uso, proporcionarle los mecanismos para ejercer sus derechos ARCO y mantener una seguridad adecuada en su almacén.

    facebooktwittergoogle_pluslinkedinby feather Published by:
  • Tengo el banner de cookies y los textos pero ¿de verdad estoy cumpliendo la ley de cookies?

    Una de las respuestas más comunes cuando le digo a alguien que es probable que no esté cumpliendo la llamada Ley de Cookies es: “sí que lo tengo todo en regla, tengo el banner y los textos legales”. ¿Te suena? Pero la verdad es que me atrevería a apostar que NO la está cumpliendo. Y es que, según nuestros estudios, más del 90% de las páginas web no cumplen correctamente con la Ley de Cookies.

    Continue reading

    facebooktwittergoogle_pluslinkedinby feather Published by:
  • 5 pasos para que tu web cumpla la ley de cookies en España

    Últimamente, cada vez más se ven en las páginas web un aviso o banner mediante el cual nos avisa de que la página web está utilizando cookies y nos pide permiso para ello. ¿Pero esto a qué es debido?  Desde abril de 2012 entro en vigor la Ley de Cookies en España. Esta ley está incluida dentro de la Ley de Servicios de la Sociedad

    Continue reading

    facebooktwittergoogle_pluslinkedinby feather Published by: