Economía Digital | Digital Business Marketing School
|
Recordar contraseña Introduce tu E-Mail y te enviaremos a tu dirección de correo electrónico tu contraseña de acceso.
Transferencia internacional de datos: Safe Harbor : Los datos personales en el Marketing Digital

Blog: Los datos personales en el Marketing Digital

Cuando uno se pone a planificar las cosas, se da cuenta de antemano de que hay circunstancias que tener resueltas a priori.

Una de ellas es el hecho de que cada vez más empleamos servicios en la nube, y hemos comentado que nuestro amigo Jorge ha decidido emplear la plataforma MailChimp para gestionar las listas de correo de sus clientes.

Ahora bien, para emplear MailChimp, hay que enviarle a MailChimp las direcciones de e-mail de nuestros clientes, y como la mayoría son clientes particulares, sus direcciones de correo se consideran un dato de carácter personal, por lo que deberemos tratarlos conforme a la LOPD.

Además, para enviar newsletters que tengan una buena tasa de apertura, será conveniente que los e-mails contengan el nombre del destinatario en el asunto, cosa que podemos hacer con MailChimp, pero previamente tendremos que enviar a MailChimp, junto con cada dirección de e-mail, el nombre de su propietario. Y eso es un dato también personal.

Cierto es que si sólo le damos los nombres en plan “Luis”, “Pedro”, “José”, no sería del todo dato personal, pues no podemos identificar que “Luis” sea un Luis concreto dentro de España ¡será que no hay Luises en España! Pero como va asociado a la dirección de correo (que sí es capaz de identificar a su propietario), se considera dato de carácter personal.

Vamos, que MailChimp tiene que cumplir la LOPD sí o sí.

Por lo tanto, la siguiente pregunta es ¿dónde está MailChimp? La respuesta es que la sede de MailChimp está en Atlanta, Estados Unidos.

¿Y qué pasa si mandamos los datos de nuestros clientes a los servidores de MailChimp? Pues que estamos haciendo una transferencia internacional de datos a un país fuera de la Unión Europea, y para poder hacerse eso se deben cumplir antes dos premisas:

  • Que el proveedor extranjero del servicio cumpla con los requisitos exigidos en la LOPD y RLOPD.
  • Que la Agencia Española de Protección de Datos autorice dicha transferencia (si considera que se hace respetando los derechos de los ciudadanos en cumplimiento con la LOPD).

 

PUNTO 1: Que el proveedor extranjero cumpla la LOPD y RLOPD

Dado que no es una sola empresa americana la que quiere hecer negocios con las empresas europeras, y estas les piden que cumplan con la legislación europea de protección de datos, han decidido crear el Safe Harbor.

Safe Harbor establece qué requisitos deben cumplir las empresas norteamericanas para tratar los datos de los ciudadanos europeos de forma correcta. Aquellas empresas norteamericanas que se adhieran voluntariamente a estos requisitos, y los apliquen, se considera que se encuentran dentro del marco “Safe Harbor”, y que por lo tanto pueden tratar datos de europeos en cumplimiento con la ley europea.

Las empresas norteamericanas adheridas a los requisitos Safe Harbor son las que se indican en este listado.

Como podéis ver en el apartado 12 de la política de privacidad de MailChimp, están adheridos a Safe Harbor.

Con esto ya tenemos resuelto este punto.

 

PUNTO 2: Que la AGPD autorice la transferencia de datos

Para conseguir esto, hay que solicitarle a la AGPD que nos lo autorice.

Para ello, lo que vamos a hacer es declarar un nuevo fichero que llamaremos “Newsletter”, e indicaremos que su encargado de tratamiento está en el extranjero.

Por lo tanto, cogeremos el fichero NOTA y realizaremos estos pasos:

1.- Cargaremos el fichero PDF de NOTA que grabamos cuando creamos el fichero de “Clientes”.

2.- Ya no marcaremos en “Modelo de declaración” que sea “Tipo”, sino que esta vez marcaremos “Normal”.

3.- En el apartado “4 Encargado de tratamiento”, pondremos los datos de MailChimp:

The Rocket Science Group, LLC d/b/a MailChimp
512 Means St., Suite 404
Atlanta, Georgia- 30318
Phone: 678-999-0141
Fax: 678-998-0142
www.mailchimp.com

4.- En el apartado “10 Transferencias internacionales”, seleccionaremos como país “EEUU Puerto Seguro”, y como categoría, “Prestadores de servicio”.

Transferencia internacional de datos

Hecho esto, rellenamos el resto del NOTA como hicimos antes, y listo, ya se puede enviar a la AEPD. Ahora esperaremos un tiempo y recibiremos la autorización (facilitado al ser un puerto seguro).

Con esto ya cumpliremos para enviar datos de nuestros clientes a MailChimp de forma legal.

¡Hasta el próximo post!

 



Comentarios

  • Carolina de La cuchara de mis recetas - 30 septiembre, 2014 a las 8:34 am

    Muchas gracias por tus recomendaciones, acabo de seguirlas y voy a enviar la inscripcion por correo ordinario.

    Carolina

  • Andrés Méndez - 30 septiembre, 2014 a las 9:10 am

    Hola Carolina.

    Me alegro de que te haya sido útil, haciendo las cosas bien se duerme más tranquilo ;-)

    Para cualquier otra cosa, pásate por el blog.

    Saludos,
    Andrés.

  • Jano - 12 octubre, 2014 a las 8:01 am

    sólo una pequeña cuestión. Entiendo que para que la transferencia cumpla rigurosamente con la lpd seria necesario formalizar un contrato de encargo de tratamiento de datos con mailchimp de acuerdo con los parametros que indica la agencia ( no faciliatara datos a terceros, trabaja como encargado de los datos y por tanto hara el uso que el respnsable del fichero indique etc). Puede indicar cuales son las posibles consecuencias de no tener ese acuerdo firmado con mailchimp?

  • Andrés Méndez - 18 octubre, 2014 a las 4:36 pm

    Hola Jano.

    Es una buena pregunta.

    A priori te diría que si no existe ese contrato en el que se especifique que MailChimp no puede hacer con los datos lo que quiera, no se consideraría a MailChimp como un encargdo de tratamiento, y por lo tanto tú le estarías haciendo una cesión de datos (es decir, que MailChimp podría hacer con los datos de tus suscriptores lo que quisiera, sin haberle pedido permiso previamente a tus suscriptores, lo que es ilegal).

    Ahora bien, dado que los servicios que MailChimp proporciona son muy específicos, me he ido a leer de nuevo su Política de Privacidad, que tienes en http://mailchimp.com/legal/privacy/

    En ella, en el apartado “9. Your distribution lists” dice:
    “Your subscriber lists are stored on a secure MailChimp server. We don’t, under any circumstances, sell your lists, contact people on your lists, market to people on your lists, steal your lists, or share your lists with any other party, unless it’s required by law. If someone on your list complains or contacts us, we may then contact that person. Only authorized employees have access to view Distribution Lists.(…)”

    Por lo tanto, dado que MailChimp indica para qué se usan esos datos (sólo para prestarte el servicio de envío de correos y monitorización de los mismos), además de para aprender anónimamente del rato de éxito de las campañas, y es una forma que se podría considerar conforme a la Ley (no usa los datos de tus suscriptores, no los vende, no les manda publicidad, etc.), considero que no sería necesario el contrato.

    Salvo opinión más fundada, me atrevería a decir que no es imprescindible el contrato con MailChimp como encargado de tratamiento, dado que en sus condiciones de uso y política de privacidad se especifica el servicio que te prestan (en el que tú no les cedes los datos de tus suscriptores).

    Eso sí, en vuestro Documento de Seguridad, debéis tener identificado a MailChimp como encargado de tratamiento ;-)

    Saludos,
    Andrés.

  • Aïda - 17 diciembre, 2014 a las 3:07 pm

    Buenas tardes Andrés, muchas gracias por el post, es muy interesante. Quería preguntarle si sabe si pasa lo mismo en aplicaciones como Dropbox. Si es así, ¿el procedimiento es el mismo?
    Quedo a la espera de su respuesta.
    Saludos

  • Andrés Méndez - 25 diciembre, 2014 a las 4:10 pm

    Hola Aïda.

    He investigado, y lo cierto es que Dropbox ha puesto mucho interés en garantizar la seguridad de su servicio y el cumplimiento con la legalidad en materia de protección de datos.

    En su página https://www.dropbox.com/help/238 podrás encontrar información, como el hecho de que cumplen con Safe Harbor, por lo que la respuesta es sí, para trabajar profesionalmente con Dropbox hay que seguir el mismo proceso que con MailChimp.

    Saludos y ¡FELICES FIESTAS!
    Andrés.

  • Uwe - 6 enero, 2015 a las 3:37 pm

    Andrés

    Good post but Safeharbor is not enough on it’s own. In the statement by Mailchimp, they answer NO to the question “Agrees to Cooperate and Comply with the EU and/or Swiss Data Protection Authorities”. So if a problem happens they will not comply no matter what. Better to use an EU vendor.
    http://safeharbor.export.gov/companyinfo.aspx?id=23996

    Viele Grußen
    Uwe KOCH.

  • Andrés Méndez - 7 enero, 2015 a las 3:20 pm

    Hello Uwe.

    Thanks for pointing out that information. I didn’t realize it, so I have analyzed it.

    Summarizing: It seems that you can trust Mailchimp.

    How I have concluded this?
    1.- The question “Agrees to Cooperate and Comply with the EU and/or Swiss Data Protection Authorities” is only mandatory if the company (Mailchimp) has people working for them with a labour contract outside US, as I can deduce from http://www.export.gov/safeharbor/eu/eg_main_018491.asp.

    2.- I understand again here that this only applies if they cover personal data from their employees outside US: http://www.export.gov/safeharbor/eu/eg_main_018388.asp
    “Where the organization wishes its Safe Harbor benefits to cover human resources information transferred from the EU for use in the context of the employment relationship, it may do so where there is a statutory body with jurisdiction to hear claims against the organization arising out of human resources information that is listed in the annex to the Principles.”

    3.- As Mailchimp says that their Safeharbor principles don’t apply to foreign employees (“Organization Human Resource Data Covered: No”), they aren’t obliged to “Cooperate and Comply with the EU and/or Swiss Data Protection Authorities”.

    So my conclusion is that Mailchimp says that they’re correctly managing EU personal data correctly, and that as they don’t have employees working outside USA they don’t need to cooperate with foreign data protection authorities (for employees personal data).

    If you look at Amazon.com Safe Harbor commitment, they answered the same as Mailchimp: http://safeharbor.export.gov/companyinfo.aspx?id=22422

    Best regards,
    Andrés.

  • Marina - 6 octubre, 2015 a las 6:37 pm

    Y ahora como vamos a declarar Mail Chimp, o Dropbox, o cualquier plataforma que tenga sus servidores en EEUU cuando este ya ha dejado de serlo.El Tribunal de Justicia Europeo ha invalidado el acuerdo que permitía transferir datos de usuarios europeos a servidores ubicados en EEUU, en base al acuerdo de “puerto seguro o Safeharbor” pues no garantiza un nivel adecuado de protección de los datos personales transferidos.
    ¿que se supone que tenemos que hacer los usuarios de Mail Chimp?

  • Andrés Méndez - 8 octubre, 2015 a las 8:13 am

    Hola Marina.

    Efectivamente, a raíz de la declaración de la sentencia del 6 de octubre (os dejo aquí la nota de prensa http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117es.pdf), el acuerdo de Safe Harbor queda invalidado.

    No me he leído la sentencia al completo, pero básicamente lo que dice la nota de prensa deduzco es que la legislación americana, que está por encima de cualquier acuerdo como el de Puerto Seguro, habilita al gobierno estadounidense a acceder a cualquier información personal que se encuentre en servidores ubicados en USA, por lo que el gobierno de USA no garantiza la privacidad de los datos de los ciudadanos (de cualquier nacionalidad) albergados en esos servidores, y que por lo tanto se imcumple la legislación europea en protección de datos de carácter personal.

    Dicho esto, podría parecer que tenemos que volver al proceso de solicitar la aprobación previa a la AEPD para transferir datos de europeos a servidores en USA, siempre que la empresa de USA diga que va a aplicar las medidas de seguridad requeridas por Europa. Peeeeeero, dado que hay legislación en USA que está por encima de cualquier oferta de protección de datos que te de un proveedor norte americano (que al final tiene que acatar la legislación americana), ¿qué supongo que te va a decir la AEPD? Pues que no te autoriza la transferencia internacional dado que el destinatario es un país cuya legislación no protege los datos de carácter personal.

    ¿Y qué pasará con las más de 4.000 empresas americanas que tienen suscrito el acuerdo de Puerto Seguro? Pues que o van montando servidores en Europa y cumplen la legislación europea, o los europeos que queramos que se protejan nuestros datos dejaremos de usar sus servicios.

    Habrá que ver lo que acontece a raíz de esto, en la nota de prensa de la AEPD indican que las distintas agencias nacionales están trabajando para coordinarse en los siguientes pasos:
    http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_06-ides-idphp.php

    Aunque con lo que termine indicando la AEPD darán un plazo de adecuación, de entrada yo recomendaría ir buscándose proveedores de servicios en Europa, para tener alternativas a mano cuando llegue el momento. O, si queréis ser más protectores con vuestros clientes, ir migrando vuestros servicios ya a empresas en Europa.

  • lorena - 29 octubre, 2015 a las 2:41 pm

    Pues menudo jaleo, he preferido usar plataformas españolas. En concreto Acrelia News, me atienden estupendamente siempre y me solucionan las dudas y problemas que tenga. La recomiendo sin dudarlo y está 100% en español.

  • Sergio - 11 noviembre, 2015 a las 4:53 pm

    Hola Andrés,

    He encontrado esta entrada ya que esta semana he recibido, supongo que como muchos, un requerimiento de la AEPD indicando que el Puerto Seguro ya no es válido y hay que cumplir una serie de requisitos para poder seguir transfiriendo datos a servidores USA. La verdad es que en mi caso particular llevo muchos años hospedando datos con una empresa americana y me gustaría continuar con ellos y ahorrarme dolores de cabeza. Dicha empresa tiene servidores en un centro de datos en Amsterdam. ¿Habría algún problema o algún requisito especial que cumplir si sigo trabajando con esta empresa Estadounidense pero transfiero todos los datos a su centro de datos de Amsterdam?

    Muchas gracias de antemano,

    Sergio

  • Marina - 1 febrero, 2016 a las 3:41 pm

    Siempre está la opción de acogerse a una de las excepciones del artículo 34 de la LOPD y requerir el consentimiento para transferir sus datos internacionalmente, bajo este supuesto, entiendo que no haría falta el permiso de la directora de la agencia.

    Un abrazo

  • Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Aceptar la política de privacidad



    “Los comentarios y opiniones que exprese en este Blog serán de su exclusiva responsabilidad, no representando en ningún caso a El Instituto de Marketing Relacional, Directo & Interactivo (en adelante ICEMD). Antes de ser publicados, los comentarios deberán ser validados por el Titular del Blog, por lo que puede suceder que éste decida no publicarlos. En ningún caso serán publicados comentarios sexistas, racistas, que inciten a la violencia o que en general resulten ofensivos o intimidatorios. Sus comentarios deberán respetar las normas de propiedad intelectual e industrial de terceros, así como los derechos de imagen, honor e intimidad de acuerdo a la ley vigente. No está permitido que utilice este espacio para hacer publicidad a favor de terceros. ICEMD queda eximida de cualquier responsabilidad derivada de los perjuicios que pueda causar al contravenir estas normas”.

    Los datos registrados pasarán a un fichero propiedad de ICEMD, adecuándose a la Ley Orgánica 15/99 de 13 de diciembre de Protección de Datos Personales.

    ICEMD se compromete a tratar de forma confidencial los datos de carácter personal facilitados y a no comunicar o ceder dicha información a terceros.

    Para ejercer sus derechos de acceso, rectificación, oposición o cancelación de sus datos se deberá enviar una carta a junto con copia del DNI a Avda. Valdenigrales s/n Edificio Esic, Pozuelo de Alarcón 28223 Madrid, por las dos caras, o pasaporte, con la referencia "PROTECCIÓN DE DATOS"”. CERRAR