Menu

LA UE anula el SAFE HARBOUR: ¿el ocaso de MailChimp en Europa?

LA UE anula el SAFE HARBOUR: ¿el ocaso de MailChimp en Europa?

La declaración del Tribunal de Justicia Europeo invalidando la decisión de la Comisión sobre el régimen de puerto seguro (SAFE HARBOUR) traerá consecuencias no sólo para para las grandes tecnológicas como facebook o twitter, sino también para todas aquellas empresas (entre las que nos incluimos) que utilizan los servicios de MailChimp para gestionar nuestras listas de distribución de correo.

Actualizado 25 Febrero de 2016: reacción MailChimp

¿Qué es el “Puerto seguro” o “Safe Harbour”?

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece que no se puede transferir los datos personales recabados en la Unión Europea a países fuera de ella sin garantizar una protección adecuada de los mismos.

La Comisión Europea consideró en su Decisión 2000/520/CE del 2 de Julio de 2000, que las empresas adheridas de forma voluntaria al régimen denominado “Safe Harbour” o “puerto seguro” en Estados Unidos, garantizan un nivel adecuado de protección a los datos personales transferidos.

Esta Decisión de la Comisión no dejaba de ser una especie de trampa a la Directiva 95/46/CE porque el régimen de “Puerto Seguro” es mucho más fácil de cumplir y no es más que una mera autorregulación de las propias empresas que se adhieren a él.

El “Caso Snowden” lo pone todo patas arriba

A raíz de la publicación por Edward Snowden en 2013 de las actividades de las agencias de seguridad estadounidenses, donde se exponía de forma clara el espionaje sistemático que dichas agencias realizaban de los correos y datos personales alojados en Estados Unidos, deja en evidencia que el “puerto seguro” ya no lo es tanto y un ciudadano austriaco, Maximillian Schrems, inicia una batalla legal contra facebook.

La autoridad irlandesa (en Irlanda tiene su sede europea facebook) de control rechaza la denuncia alegando que facebook está adherida al régimen de “puerto seguro” y por tanto, según la Decisión de la Comisión, garantiza un nivel adecuado de protección.

Sin embargo, el Tribunal Supremo Irlandés pregunta al Tribunal de Justicia Europeo si la existencia de esa Decisión impide a la autoridad de control investigar la denuncia y, en su caso, suspender la transferencia de datos.

Las claves de la decisión del Tribunal de Justicia Europeo

El procedimiento judicial iniciado en Irlanda ha cristalizado en una declaración del Tribunal Europeo de Justicia que podemos resumir en:

  • la Comisión no comprobó que Estados Unidos garantizara un nivel de protección equivalente en su régimen de “Puerto seguro”
  • las autoridades públicas estadounidenses (por ejemplo la NSA) no se habían adherido al mismo
  • la legislación de Estados Unidos en casos de seguridad nacional, interés público… puede saltarse a la torera la protección que otorga el “puerto seguro”
  • la existencia de una Decisión de la Comisión Europea no puede impedir o limitar la tutela judicial efectiva por parte de las autoridades nacionales.

Implicaciones de la decisión del Tribunal de Justicia Europeo

De lo anterior se pueden extraer las siguientes implicaciones:

  • La Decisión del TJE no invalida el “puerto seguro” automáticamente
  • Las autoridades nacionales de control (en España la Agencia española de Protección de Datos) tienen ahora libertad para considerar que las empresas adheridas al régimen de “puerto seguro” no ofrecen una protección adecuada a los datos transferidos
  • ¿Qué podemos hacer si usamos MailChimp?

    Aunque a corto plazo utilizar MailChimp para nuestras listas de distribución de correo no es ilegal, es conveniente ir preparándose para una previsible anulación de la transferencia de datos por parte de la Agencia española de Protección de Datos (AEPD).

    La AEPD podría actuar de motu propio o a raíz de una denuncia de cualquier particular que crea que sus derechos no están siendo respetados. Creemos que simplemente con la exposición de hechos que realiza el Tribunal de Justicia Europeo tendría pruebas suficientes para fallar en contra del “safe harbour”.

    Actualizado con respuesta AEPD: 11 de Noviembre de 2015

    Ya tenemos noticias de la AEPD:

    Se están mandando requerimientos a todos aquellos responsables de ficheros donde figuran declaradas transferencias de datos internacionales con entidades adheridas a los principios de Puerto Seguro.

    Hay dos opciones:

    • utilizar las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE
    • buscar entre las excepciones del artículo 34 de la LOPD

    La AEPD da un plazo de 3 meses para ponerse al día.

    Si MailChimp no reacciona ante esta nueva situación, la búsqueda de alternativas a Mailchimp debería centrarse en aquellas empresas de la Unión Europea que nos ofrezcan una solución tecnológica a la medida de nuestras necesidades.

    Actualizado: cambio política de Mailchimp: 25 de febrero de 2016

    Parece que MailChimp por fín se ha puesto al día:

    Seguro que todos aquellos que utilizáis el servicio de MailChimp habéis recibido un correo donde explican los cambios en los textos legales del servicio que ofrecen

    El objetivo de esos cambios es hacer frente a las legislaciones de Australia y la Unión europea que son más restrictivas en cuanto a la protección de los datos personales que las de Estados Unidos y ya se pueden utilizar las Cláusulas Contractuales Tipo que comentábamos en la pasada actualización.