La gran incógnita. Dejar de usar Dropbox, Google Drive o Mailchimp o NO

Comment

LOPD Sin categoría
repair

Se ha estado hablando y especulando mucho sobre si es legal o no utilizar herramientas alojadas en países no seguros (básicamente hablamos de Estados Unidos) debido a la resolución del tribunal europeo del día 6 de Octubre de 2016 en la que se declaraba invalidado el acuerdo Safe Harbor. El problema principal no es que las empresas no cumplan con las leyes (cosa discutible), es que los países no cumplen con la ley.

La agencia española de protección de datos enseguida tomó cartas en el asunto y se apresuró a avisar a las empresas que habían declarado ficheros con transferencia internacional de este nuevo entorno y de la necesidad de “adecuarse” a la ley antes del 29 de Enero, fecha límite para regular el uso de estos servicios según la Ley Orgánica (principalmente obteniendo el consentimiento expreso de la directora de la AEPD) o a través de alguna de las excepciones indicadas en la propia ley (al tratarse de excepciones se debe tener mucho cuidado porque ante cualquier posible problema la resolución puede verse alterada en base a interpretaciones).

Con todo esto nos surge la siguiente duda ¿podemos utilizar Dropbox, Google Drive o MailChimp en nuestra empresa? Hasta ahora, la respuesta oficial era sí, pero nuestro consejo siempre fue evitar en la medida de lo posible utilizar estas herramientas.

Nota! A pesar de este panorama, tenemos una buena noticia: ya están trabajando en un nuevo acuerdo para las transmisión de datos entre estos países según ha informado la Comisión Europea el 2 de Febrero.

Esta noticia nos hace ver la luz al final del túnel. Y es que está claro que empresas tan importantes como Google o Mailchimp no están dispuestas a perder un mercado tan jugoso con Europa. Por ello, se abre un nuevo escenario de duda sobre el uso de estas herramientas. ¿Qué hacemos en este punto de tierra de nadie? La ley dice que no debemos utilizarlas, pero una migración de estos servicios, en muchos casos, es un proceso complejo y tedioso, debiendo realizar un importante esfuerzo de recursos y económico.

Ante todo, debe constar esta es una reflexión personal de @xandrucancelas y en ningún caso pretendemos que sea una biblia a seguir al pié de la letra porque se trata de un razonamiento sobre la lógica (personal) y apoyado en alguna de las excepciones que incluye la ley -que como hemos dicho anteriormente, no es una opción 100% fiable-.

Situación actual

La situación actual es que la agencia reconoce a EEUU como país no seguro, complicando a las empresas que utilizan servicios en dicho país la adecuación a la ley. En el mes de octubre se notifica a estas empresas que se deben adaptar al nuevo escenario, con fecha máxima de 29 de Enero. El 2 de Febrero se publica el principio de acuerdo para trabajar en un nuevo marco regulatorio.

Pasos a seguir

Hay muchas empresas que no podrían operar sin utilizar este tipo de servicios o que su ventaja competitiva se basa en el uso de ellos y realizar una adaptación y cambio de estos sistemas costaría mucho tiempo (estamos hablando de más de 6 meses) y dinero (realizar un cambio de infraestructura y aplicaciones). Todo ello no impide que estas herramientas (o servicios) estén en países no seguros y queramos garantizar la seguridad de los datos de nuestros clientes, nuestro principal activo.

Lo primero que debemos hacer es definir un plan de migración en el que veamos el alcance que tiene para nuestro negocio dejar de utilizar estas herramientas. En este punto puede suceder que veamos viable o no dicho cambio.

En caso de decidir cambiar a herramientas alojadas en países seguros (y, por supuesto, que ellas mismas cumplan con los requisitos legales en materia de protección de datos). En este caso solo decirte “genial!”.

Si, en cambio, hacer una migración nos resulta demasiado complejo, costoso o, simplemente, inviable, creo que deberíamos aplicara lógica y poner todas las medidas que estén a nuestro alcance para la que debe ser nuestra mayor preocupación, cuidar los datos de nuestros clientes. Por ello, vamos a intentar definir las acciones a realizar para trabajar con herramientas como Dropbox o MailChimp lo más cercano a la ley posible.

  • Lo primero de todo, debemos contar con un “plan de migración” que nos justifique la imposibilidad de modificar nuestra estructura y aplicaciones para utilizar otro tipo de herramientas.
  • Notificar al Registro General de Protección de Datos la modificación de la inscripción del fichero, en cuyo apartado 10 “Transferencia Internacionales” deberá proceder a suprimir la referencia relativa a “Puerto Seguro”.
  • Por supuesto, debemos disponer de un contrato con la empresa responsable del servicio.
  • Una de las excepciones a la ley para el uso de servicios en países no seguros hace referencia a la necesidad de informar expresamente a los usuarios de esta del uso de estas herramientas, de por qué las utilizamos y qué datos recogemos. El consentimiento habrá de ser libre, inequívoco, específico e informado -no se indica que deba ser expreso-. En caso contrario, debemos eliminar los sus datos de dicha herramienta.

Con todo ello, se debe entender que la empresa está aplicando todas las medidas a su alcance para proteger los datos de sus usuarios sin tener que cesar su actividad. Además debemos tener en cuenta que (se espera) no tardará demasiado en haber un nuevo acuerdo para la transferencia de datos con estos países, por lo que, las autoridades oportunas deben ser conscientes de que, para muchas pequeñas empresas y autónomos, adaptar todos los sistemas resulta muy costoso y es posible que en algunas semanas haya resultado una pérdida de tiempo, dinero y ventaja competitiva.

La discusión está abierta, ¿cómo nos adaptamos a la ley con el uso de herramientas como Dropbox, Google Drive o Mailchimp? ¿cómo lo harías tú?

facebooktwittergoogle_pluslinkedinby feather

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *