Clouds ubicados en EEUU

Utilización de Clouds ubicados en EEUU, Mailchimp, Drop box, etc.


Me gustaría exponer aquí un dilema que existe sobre la utilización de aplicativos en Cloud ubicados en EEUU, sobre si cumplen con nuestra normativa de protección de datos RDLOPD o si ya es suficiente la vigencia de la Certificación de Puerto Seguro para realizar una transferencia de datos por el uso de dichos aplicativos. 

Para contrastar el cumplimiento de Puerto Seguro versus RDLOPD pondré algunos ejemplos, de aplicaciones, que sí cumplen con la normativa estadounidense pero no con la europea (como la canción de David Bisbal "Sí pero NO") según comunicado del Abogado General Bot:
 
Según el Abogado General Bot, en el comunicado de prensa nº 106/15 del Tribunal de Justicia de la UE en que la decisión de la Comisión (2000/520/CE) por la que se declara el carácter adecuado de la protección de los datos personales en Estados Unidos, no debería impidir que las autoridades de control nacionales suspendan la transferencia de datos de los usuarios europeos de Facebook a servidores situados en EEUU si se detecta que existe riesgo de que dicha transferencia no se realiza bajo la denominación de "Puerto Seguro", aunque dicho país disponga de dicha certificación, ya que los niveles de seguridad exigidos por la Unión Europea son más altos que los exigidos por Estados Unidos.


MAILCHIMP

Mailchimp es una aplicación imprescindible para muchas empresas españolas para gestionar el lanzamiento de campañas de mailing. La utilización es sencilla: se procede al alta, se diseña una plantilla y tras cargar la base de datos de nuestros clientes, Mailchimp gestiona los envíos y gestiona las bajas.


¿EXISTE SOLUCIÓN LEGAL?

El uso de esta aplicación tiene sus “peros” ya que vamos a subir nuestra base de datos de los clientes en los servidores de Mailchimp para realizar el envío de nuestras comunicaciones comerciales y esta empresa, además, se encuentra ubicada fuera de la UE, concretamente en Atlanta (EEUU).

Por lo tanto, deberemos tener en cuenta que Mailchimp será una Encargada del Tratamiento por recibir dicha información y tratarla y además se estará realizando una Transferencia Internacional de Datos.

El Encargado del Tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento, siendo este último, el poseedor de los datos y el que crea la campaña. Para dar cumplimiento a esta relación deberemos de:
  • Formalizar un Contrato de Acceso a datos entre el Responsable y el Encargado donde se especifique que el Encargado sólo accederá a los datos para la prestación del servicio de envío de mailings y aplicará unas medidas de seguridad establecidas por el Responsable.

A partir de aquí, nos encontramos “con un problema” ya que Mailchimp, en su contrato, no negocia las condiciones de su servicio con sus clientes, éstos simplemente las aceptan o no, al igual que Google, Facebook, Drop Box… sin posibilidad de poder modificar ninguna cláusula.

Siendo esto así cabe recordar que la propia AEPD en la Guía de Cloud Computing que publicó en su día, utilizó un argumento válido, y es que si el cliente no puede negociar las condiciones del servicio, no le exime de la responsabilidad de cumplir con la ley, por tanto, resulta del todo necesario una revisión previa de las condiciones del servicio así como de la política de privacidad de Mailchimp para asegurar el no uso de los datos subidos para otras finalidades, así como la aplicación de unas medidas de seguridad mínimas.

En la actualidad la citada política asegura, entre otras cosas:
  • Que los emails facilitados (Distribution list) no serán, bajo ningún concepto, compartidos o vendidos con terceros y con finalidades diferentes a las acordadas.
  • La notificación de incidencias.
  • El uso de un Certificado de Encriptación SSL de 128bits.
  • Que dispone de Certificado de Puerto Seguro.


¿ESTAMOS ANTE UNA TRANSFERENCIA INTERNACIONAL DE DATOS?

Según la normativa vigente se considera que estamos ante una transferencia internacional cuando los datos recogidos en España, son transferidos a un Estado fuera de la Unión Europea o del Espacio Económico Europeo.

El Tribunal de Justícia europeo acaba de sentenciar que EUA no es un país seguro para almacenar datos de ciudadanos europeos, y por tanto, las transferencias de datos a empresas o servidores norteamericanos están prohibidas por defecto. Mailchimp es una empresa ubicada en Atlanta (EUA) por lo que técnicamente estamos ante una transferencia internacional de datos y, por ello, hace falta obtener la autorización del Director de la AEPD para efectuar dicha transferencia.


 


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

ENTENDIDO