Hace tiempo que el uso de la nube para los trabajadores del conocimiento (TCs) dejó de ser una opción. En este otoño de 2015 ha ocurrido algo importante y potencialmente impactante para cualquier empresa que utilice Dropbox, OneDrive, Google Apps, Box, Zoho, Mailchimp o cualquiera de las muchas y prácticas herramientas con sede en EEUU: la virtual anulación del Safe Harbor y lo que ello podría implicar respecto al cumplimiento de la LOPD. ¿Qué es el Safe Harbor? ¿qué es lo que ha ocurrido con él? ¿qué es todo lo que se ha dicho en estos últimos meses acerca de esta noticia? ¿nos hemos quedado fuera de la legalidad de la noche a la mañana?
Para poder trasladaros de forma ordenada y entendible todo lo que está encima de la mesa voy a necesitar dos cápsulas. En ésta primera me voy a limitar a hacer un directorio de todas las referencias que me han parecido más ilustrativas o que aportaban elementos más interesantes sobre el tema.
En la siguiente, Nube, EEUU, LOPD, Safe Harbor y Trabajadores del conocimiento, analizo el tema desde el punto de vista del negocio y -como a mí me gusta-, los pies en tierra, el día a día de las Pequeñas y Medianas Organizaciones (PyMOs).
En el listado de referencias que verás a continuación he optado por un orden cronológico inverso. Sólo si te interesa la génesis del asunto querrás conocer lo que se estaba publicando antes de octubre de 2015. El día 6 de ese mes es cuando se publica la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) y surgen artículos, publicaciones y análisis por doquier.
Después de octubre de 2015 han seguido apareciendo cosas. Más espaciadas, más reposadas y mejor analizadas.
Además me ha parecido interesante dejar un espacio específico a lo que han publicado los propios proveedores y otro a la Agencia Española de Protección de Datos.
Como resumen: desde esta cápsula tienes un mapa muy completo de gran parte de lo que se ha dicho sobre el fenómeno Safe Harbor. Con posturas de todo tipo y entre las que cualquiera encontrará material suficiente para reforzar sus argumentos en el sentido que prefiera.
Después de Oct 2015
[box style=»1″ ]Se podría decir, de este modo, que se está planteando la creación de un “Safe Harbor II“. Será Věra Jourová, la comisaria europea de Justicia, la que se reunirá en Washington a principios de 2016 con la secretaria de Comercio de EEUU, Penny Prtizker, para poder avanzar en las negociaciones.
Enrique Dans pone los puntos sobre las ies. Empieza tildando el titular de El Confidencial de sensacionalista y luego aclara. Aunque no aporta muchos datos. Básicamente se limita a incidir varias veces que sería demencial que esa noticia fuera cierta. Y refiere el comunicado de la AEPD sin aportar más pistas. El valor de esta entrada radica en el renombre de su autor.
[/box] [box style=»1″ ]Entrada de IADEA, empresa dedicada específicamente a guiar a empresas en la implantación de Google Apps y Google Adwords. Ellos concretan cómo puedes resolver el tema desde Google Apps seleccionando ciertas opciones en tu cuenta de administración. Consiste en una aceptación del condicionado específico basado en las cláusulas contractuales.
[/box] [box style=»0″ ]Con este titular de El Confidencial, claramente alarmista y sacado de contexto, fue como se generó definitivamente una alarma generalizada en todo tipo de empresas.
Computerworld tiene claro que las autoridades europeas buscarán –y pronto-, un nuevo acuerdo con los proveedores estadounidenses. De hecho eso fue lo que pasó cuando en 1998 una directiva puso en jaque la transmisión de datos al otro lado del Atlántico. Las empresas europeas no estaban por la labor de prescindir de la tecnología americana y de ahí surgió el Safe Harbor en 2000. Entre otras cosas, un cierre de fronteras tecnológicas tendría impacto sobre la ya alta tasa de paro en Europa.
Lo argumenta, incluso, con la teoría de juegos.
Y advierte: lo mismo que ha hecho famoso a un estudiante de grado austriaco podría llamar la atención de un estudiante americano en Europa que quisiera acusar a la agencia de protección de datos de turno, por alojar datos suyos en territorio europeo.
El análisis (sesgado) del que probablemente es el único proveedor de servicios en la nube español que garantiza por encima de todo el cumplimiento de la LOPD. Dataprius considera que la anulación del Safe Harbor contribuye a solventar una situación de injusta competencia: los proveedores europeos tienen que invertir más para cumplir con una normativa mucho más exigente que la estadounidense. Y, como consencuencia, los proveedores americanos jugaban con ventaja. La sentencia del ECJ viene a resolver la injusticia y abre posibilidades a las empresas europeas.
[/box] [box style=»1″ ]Del abogado tecnológico Javier Prenafeta. Explicación sucinta del impacto que tiene la noticia y una serie de recomendaciones a llevar a cabo. Que estarán bien desde el punto de vista legal pero son un auténtico galimatías para cualquier PyMo.
[/box] [box style=»0″ ]Un diálogo imaginario en el consejo de dirección de una multinacional estadounidense. Recrea muy bien la situación en la que les dejaría la anulación del Safe Harbor. Su autor, Héctor Guzmán, es miembro de la Asociación Profesional Española de Privacidad. La propia asociación tiene otras entradas, todas ellas interesantes.
[/box]¿Qué dice la AEPD?
¿Y en todo esto qué dice la Agencia Española de Protección de Datos?
[box style=»1″ ]- Sobre transferencias internacionales, que hay una serie de países que se considera tienen un nivel adecuado de protección: la UE, Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Urugay y Nueva Zelanda.
- Nueva comunicación sobre aplicación de la sentencia de Puerto Seguro es una aclaración explícita respecto al artículo publicado por El Confidencial el 8/12/15 en la que se explicita que lo que han hecho ha sido enviar un aviso a los responsables de los datos que hayan declarado a la Agencia que hacen transferencia internacional. Para que antes del 29/1 busquen legitimar la situación.
- Comunicación enviada a responsables (29/10/15) es el modelo enviado a los ídem. Indicando que en los ficheros que ellos controlan se ha declarado que existen transferencias internacionales con EEUU y que, por tanto, han de adecuarse a la legalidad vigente so pena de que la AEPD pueda “…acordar, en su caso, la suspensión temporal de las transferencias”.
¿Qué dicen los principales proveedores?
[box style=»0″ ]- Mailchimp provee un formulario tipo en el que puedes crear un contrato entre las dos partes indicando algunos datos clave. Se trata de un documento explícitamente creado para empresas en territorio europeo o suizo.
- Salesforce habilitó un apartado específico para responder a las inquietudes de sus clientes. Desde ahí puedes firmar un addendum específico para los países europeos. Es uno de los CRM online más populares del mundo, así que los datos que maneja entran directamente en el nivel de seguridad medio o alto (en función de las anotaciones que se hagan de cada persona) de acuerdo a las especificaciones de la LOPD.
- Box ha anunciado que a lo largo de 2016 contará con infraestructura en Europa. Además han argumentado que la hipotética anulación del Safe Harbor no les afecta puesto que ellos ya cumplen con medidas alternativas.
- Dropbox no tiene planeado dotarse de centros de datos en Europa, aunque cuenta con todo tipo de acuerdos y normativa relacionada con la seguridad.
- Microsoft publicó una extensa explicación por parte de su Chief Legal Officer, Brad Smith. En la que se brindan a colaborar en el mejor entendimiento entre los gobiernos de ambos lados del Atlántico y que, en todo caso, ellos ya hace tiempo que incluyen en sus condicionados las cláusulas más estrictas acordadas con las autoridades europeas. Ellos, desde luego, defienden la legalidad de todas sus plataformas y anuncian que seguirán trabajando por garantizar la seguridad de los datos y un adecuado equilibrio entre el derecho a la privacidad y la necesidad de seguridad de los países. Para esto último informan de que no brindan nigún dato que no sea debidamente requerido en forma legal.
Oct 2015: sale la sentencia que anula la validez del Safe Harbor
[box style=»1″]Conecta la iniciativa de Maximilian Schrems con el caso Snowden como origen de todo. Incluye una cita del Wall Street Journal según la cual la resolución afectará a unas 4.500 empresas. Y concluye con una frase lapidaria: “Facebook, Google, Twitter, Amazon se enfrentan ahora a un serio problema en su negocio de manipular nuestros datos”. Que ya sabemos que es imprecisa y un tanto tendenciosa.
[/box] [box style=»0″]De Expansión. Aporta un dato interesante: ¿qué ocurre con empresas estadounidenses con delegaciones en Europa que tienen que transferir los datos de sus empleados a territorio EEUU?
Quizás como muestra de dominio del terreno, el Data Protection Report se anticipó un día a la resolución de la ECJ y dio una serie de claves de apariencia muy solvente acerca de qué herramientas entran en juego tras la anulación del Safe Harbor. Además de dar una guía específica para diferentes sectores: B2B, departamentos de RRHH de multinacionales, comercio electrónico,… El Data Protection Report es un departamento de una firma multinacional de abogados: Norton Rose Fulbright. Están específicamente especializados en privacidad y seguridad de datos, ciberseguridad… Se posicionan como auténticos expertos en la materia.
Antes de Oct 2015
El Safe Harbor estaba en vigor y el tema evolucionaba en la sombra. Aparecían pocas y esporádicas noticias sobre temas directa o indirectamente relacionados:
[box style=»0″]Artículo muy interesante de ITPro (revista tecnológica de Reino Unido). Explica en qué punto se encuentra el juicio entre el gobierno americano y Microsoft. Una agencia de seguridad de EEUU solicitó a la compañía el acceso a ciertos correos de una persona que estaba siendo investigada. Microsoft se negó alegando que esos datos estaban su CPD de Dublin. Una jueza de Nueva York sentenció que se trataba de una cuestión de control y no de localización de la información. Es decir: usted empresa estadounidense y responsable de los datos, está obligada a proporcionarlos con independencia de dónde los tenga. La sentencia fue recurrida por Microsoft y el proceso judicial prosigue. De hecho Microsoft, ya con una sentencia en firme, se ha negado a entregar los datos porque alega que son propiedad de sus usuarios.
[/box] [box style=»1″]Del CGAE. Evidentemente incurre más en los detalles legales acerca de cómo iba el juicio en ese momento. Explica qué es la plataforma Europe-V-Facebook.
Despacho de abogados Ribas Casademont. No dice un no taxativo, pero sus conclusiones finales…
(Jul’2014)
(Jun’2014)
Lo que hizo Microsoft, motu propio, fue ir más allá del Safe Harbor y buscar un acuerdo explícito con la AEPD a través de las Cláusulas Contractuales Tipo (model clauses). El acuerdo es aplicable a clientes corporativos del ámbito empresarial y Administraciones Públicas. Y se concreta en algo tan sencillo como que, cuando el responsable de los ficheros declare en su comunicación a la AEPD, en el apartado de transferencias internacionales, que tiene sus datos en Microsoft, indique cierto código que hace mención al acuerdo.
[/box]Hasta aquí el directorio. En la siguiente cápsula, de una forma más sintética e interpretada, mi visión sobre el asunto.
[…] cápsula es la continuación de la anterior: Directorio de Noticias sobre la anulación del Safe Harbor. Una vez estudiado todo lo más significativo y aparentemente solvente que encontré sobre el tema, […]