GDPR: ¿Puedo seguir usando plataformas ubicadas fuera de la UE?

Responde José Manuel Sanz: consultor, formador y experto en LOPD y GDPR

José Manuel Sanz es formador y consultor en materia de privacidad desde el año 2000, dando servicio a entidades públicas y privadas en materia de adecuación a la normativa en materia de protección de datos.

Ante la inminente entrada en aplicación efectiva del RGPD o GPDR (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016), una de las cuestiones que los clientes más comúnmente plantean es si pueden seguir usando plataformas y aplicaciones que tengan su ubicación fuera de la Unión Europea. En este post, os aclaramos este asunto.

El Safe Harbor ya no es valido desde octubre 2015

El pasado mes de octubre de 2015, el Tribunal de Justicia de la Unión Europea anuló el acuerdo de Puerto Seguro que hasta ese momento regulaba las relaciones entre los Estados Unidos y la Unión Europea en materia de privacidad y garantías de los usuarios de la unión en ese país.

Como consecuencia, quedaban anuladas las garantías que muchos proveedores de servicios otorgaban al respecto de la privacidad de los datos de los ciudadanos de la UE y creaba un problema muy serio a las empresas que usaban esas plataforma, pues convertía en alegales los tratamientos de datos que se llevaban a cabo en EEUU al no contar con garantías suficientes.

La desaparición de este marco de referencia dejó en un limbo legal importante durante varios meses a las empresas que usaban servicios de almacenamiento de datos o gestión de listas de correo como Dropbox o Mailchimp.

Con el cambio de gobierno estadounidense, el Privacy Shield tampoco

Pasados unos meses, se presenta otro marco de referencia para la relación entre la Unión Europea y Estados Unidos para la gestión de datos personales de ciudadanos de la unión, Privacy Shield, que viene a suplir la falta de garantías y crea otro marco legal seguro.

Con el cambio de administración en el gobierno estadounidense, se produjeron cambios importantes como la revocación de algunas garantías del nuevo acuerdo de Privacy Shield, que permitían a los proveedores de servicios de Internet (o ISPs) comerciar con los datos de navegación de los usuarios. Teniendo en cuenta que muchos usuarios estaban situados dentro de la UE, esto anulaba de facto las garantías con las que supuestamente venia a dotar el Privacy Shield.

Actualmente, los datos de los ciudadanos europeos no disponen de un marco de privacidad regulado

Es decir, en resumen, que actualmente los datos de los ciudadanos europeos que se gestionan en los EEUU siguen sin disponer de un adecuado marco de privacidad, a pesar del RGPD y del Privacy Shield.

Por lo tanto, y teniendo en cuenta que el RGPD supone un mayor control de los proveedores por parte de las empresas que pueda ceder una parte de la gestión de sus tratamientos de datos (email marketing, gestión de nóminas, etc), se hace conveniente revisar los tratamientos de datos que las empresas tienen fuera de la UE (como para quienes utilizan Mailchimp) y ver si estos se adecuan convenientemente a lo que el nuevo marco normativo dispone.

No nos cansaremos de recordar que el escenario ideal de cualquier tratamiento de datos de ciudadanos de la UE, es el que se realiza dentro de la misma y en concreto, en nuestro país.

Para estar 100% preparado ante la llegada de la RGPD puedes:

1. Visitar esta página informativa sobre GDPR y RGPD en España 

2. Leer el post de Acumbamail sobre qué es la RGPD cómo afecta el email marketing 

3. Realizar este test de forma gratuita y averiguar si cumples con los requisitos del GDPR 

En Acumbamail, para asegurarnos de que los tratamientos de campañas de email marketing que envían nuestros clientes, además de ser efectivas, se realicen con todas las garantías legales hemos trabajado con José Manuel Sanz.

Además de contar con una constante revisión de nuestros procedimientos de privacidad, contamos con toda nuestra infraestructura dentro de la UE, en concreto en España.