Safe Harbor: consecuencias prácticas para el e-commerce

Rafael Gómez-Lus, Legal Expert Spain en Trusted Shops GmbH

Actualidad

20 Noviembre, 2015

La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 6 de Octubre de 2015 que declara inválido Safe Harbor (Puerto Seguro) ha tenido una gran repercusión en la opinión pública y en la prensa. La pregunta es, ¿qué impacto tiene para el comercio electrónico la sentencia del TJUE?

La sentencia se refiere a Facebook, ¿me afecta a mí?

Si bien es cierto que en el litigio principal se demandó a Facebook, los efectos de la sentencia no se limitan a la red social estadounidense. El TJUE ha decidido en la sentencia de 6 de octubre de 2015, en el asunto C-362/14, que las transferencias de datos personales a Estados Unidos realizadas en el marco de Safe Harbor (Puerto Seguro) ya no son válidas. Por lo tanto, las transferencias de datos personales a este país llevadas a cabo por otras empresas también quedan afectadas.

Yo no transfiero datos personales a Estados Unidos, ¿me afecta la sentencia sobre Safe Harbor?

La sentencia del TJUE puede afectarle si trabaja con prestadores de servicios que, hasta la fecha, han transferido datos a Estados Unidos en el marco de Safe Harbor. Estos pueden ser, por ejemplo, proveedores norteamericanos de software de comercio electrónico o proveedores de servicios de envío de correos electrónicos para newsletters.

¿Qué requisitos se aplican para el envío de datos personales a Estados Unidos?

Las transferencias  de datos personales a países fuera de la Unión Europea se regulan en los artículos 33 y 34 de la Ley Orgánica de Protección de Datos (LOPD) así como en el Título VI del Reglamento  de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD). Conforme a esta normativa, por regla general el envío de datos personales a países que no proporcionen un nivel de protección equiparable al prestado en la normativa española requerirá la autorización previa del Director de la Agencia Española de Protección de Datos (AEPD). A esta regla se le aplican, conforme al artículo 34 LOPD, una serie de excepciones, por ejemplo, la transferencia será lícita si el destinatario lo consiente de forma inequívoca.

A través de la sentencia del TJUE, por la que se invalida la Decisión 2000/520 de la Comisión sobre Safe Harbor, Estados Unidos ya no forma parte del listado de estados con un nivel adecuado de protección. Como solución para realizar una transferencia de datos personales a EEUU conforme a la ley, se plantea el uso de Cláusulas Contractuales Tipo y Normas Corporativas Vinculantes (BCRs). Obtener el consentimiento del afectado es una alternativa, pero se plantean dudas en cuanto a los requisitos que se deberían cumplir en la práctica para que la obtención del consentimiento sea reconocida como válida por las Autoridades de protección de datos.

Tengo una página de fans en Facebook y/o utilizo plugins de Facebook, ¿qué debo tener en cuenta?

Respecto a las páginas de fans, Facebook asume la responsabilidad de que la transferencia de datos personales a través de sus servicios se lleve a cabo en conformidad con la normativa de protección de datos europea. Esta posición ha sido defendida en Alemania en una sentencia del Tribunal Supremo Administrativo (Oberverwaltungsgerich) de Schleswig Holstein del 4 de Septiembre de 2014. Sin embargo, esta sentencia ha sido discutida y no se puede descartar que en el futuro las autoridades de protección de datos decidan en otro sentido.

Respecto a la utilización de plugins y otros servicios de las redes sociales, ya se ha discutido con anterioridad que el TJUE dictase la sentencia sobre Safe Harbor. Tras la sentencia del TJUE, se debe reevaluar el cumplimiento de la normativa de los servicios mediante los cuales se transfieren datos personales a Estados Unidos. Cuando un usuario visita una página web en la que se ha integrado el botón de “me gusta” de Facebook, se transfieren sus datos personales a Facebook Inc. en Estados Unidos. Una interesante opción a considerar es implantar la “solución de los 2 clics” para el botón de “me gusta” de Facebook. Mediante esta configuración no se envían los datos de los usuarios a Facebook por defecto, sino que el usuario debe hacer en primer lugar clic en el plugin para activarlo. Si bien esta solución supone una mejora considerable de cara a la protección de datos, resulta discutible que este primer clic pueda ser admitido como un consentimiento válido para la transferencia de datos personales a Estados Unidos.

Utilizo Google Analytics: ¿Tengo que realizar algún tipo de cambio?

Al utilizar la configuración por defecto de Google Analytics se transfieren datos personales de los usuarios (direcciones IP sin anonimizar) a Google Inc. en Estados Unidos. Por lo tanto, para que esta transferencia internacional de datos personales pueda realizarse será necesario que se cumplan alguna de las excepciones del artículo 36 LOPD o que se obtenga la autorización previa del Director de la AEPD. 

Como solución a este problema se debería instalar la función anonymizelp para Google Analytics.  Mediante esta función la dirección IP del usuario es anonimizada dentro de la UE y posteriormente enviada a los EEUU. De este modo, no se transfieren datos personales a EEUU, por lo que no se aplican los requisitos de los artículos 35 y 36 LOPD.

¿Existe un periodo transitorio para adaptarse al nuevo marco legal?

La sentencia del Tribunal de Justica Europeo tiene efecto inmediato. No se prevé un periodo transitorio en el cual las empresas puedan seguir transfiriendo datos personales a  EEUU conforme al Acuerdo de Puerto Seguro. En un comunicado de prensa del 16 de octubre del Grupo de Trabajo Artículo 29, las Autoridades de protección de datos han anunciado que no planean realizar acciones coordinadas de aplicación de la ley antes de finales de enero de 2016. Si hasta esa fecha no se ha llegado a un acuerdo con las autoridades estadounidenses, las Autoridades de protección de datos de la UE se comprometen a “adoptar todas las medidas necesarias y apropiadas”.

¿Qué ocurre si se transfieren datos personales a Estados Unidos de forma ilícita?

El envío ilícito de datos a EEUU puede dar lugar a una multa por parte de la Agencia Española de Protección de Datos. La sentencia del TJUE establece de forma clara  las competencias de control de las autoridades europeas de protección de datos respecto al envío ilícito de datos personales a terceros países. Asimismo, el Grupo de Trabajo ha comunicado que las autoridades de protección de datos podrán investigar casos particulares, por ejemplo, a partir de denuncias. Por ahora no resulta claro con qué dureza las Autoridades nacionales de protección de datos aplicarán la ley. Respecto a este tema, sería deseable que se coordinasen y actuasen de forma uniforme para no incrementar la inseguridad jurídica existente.

¿Qué medidas se deben tomar?

En primer lugar, es importante no actuar de forma precipitada.  Se debería elaborar un listado de los proveedores de servicios de la tienda online para disponer así de una visión general.

Para aquellas transferencias que hayan sido realizadas conforme a Safe Harbor, se deberán considerar herramientas alternativas como las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes (BCRs). El  Grupo de Trabajo del Artículo 29 ha comunicado en su nota de prensa que continuará su análisis del impacto de la sentencia del TJUE respecto a herramientas para transferencias de datos alternativas a Safe Harbor. Asimismo, las Autoridades de protección de datos de la UE van a llevar a cabo campañas de información, para garantizar que los actores estén suficientemente informados, por lo que se deberá estar al tanto respecto a las comunicaciones de las Autoridades de protección de datos.

La sentencia del TJUE ha desencadenado un terremoto en la economía digital. La validez de Safe Harbor ya había sido puesta en tela de juicio en el pasado y tras las revelaciones de Edward Snowden era insostenible. La problemática de la vigilancia masiva e indiscriminada es un elemento clave de la sentencia del TJUE que deberá ser resuelta mediante un acuerdo entre la UE y EEUU. Cabe preguntarse si finales de enero de 2016 es un plazo demasiado corto para que la UE y EEUU lleguen a un acuerdo. A este respecto, según el Wall Street Journal, la UE y EEUU han llegado un principio de acuerdo sobre la transferencia de datos a EEUU.

Para terminar, hay que tener en cuenta que otra de las cuestiones que se plantea es cómo ejecutarán en la práctica las Autoridades nacionales de protección de datos sus competencias de control respecto a transferencias internacionales de datos personales tras la invalidación de Safe Harbor. Este y otros puntos se aclararán en las próximas semanas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Relacionados

El Tribunal de Justicia de la UE declara inválida la Decisión de la Comisión sobre los acuerdos de transferencia de datos con EEUU

El 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJCE) dictó...

  • 9 Octubre, 2015
  • No hay comentarios

Suscribete

Toda la actualidad del ecommerce en tu e-mail

Patrocinado por: Patrocinador

House Of Cards o cómo Netflix usó el Big Data para crear un éxito

“Facebook cuenta con más de 65 millones de Pymes en todo el mundo”

Amazon acaparará el 50% de las ventas online de EE.UU

Ecommerce Tour Sevilla: Más allá de Amazon: ganar dinero con Nichos de negocio en eCommerce (Vídeo)

Los ‘5 elements of meaning’ para conseguir la lealtad de los consumidores

Visitando Smartech, el primer Hub de Internet of Things en España (Vídeo)

El 59% de los consumidores prefiere el pago con tarjeta al dinero en efectivo

¿Es el ‘pago invisible’ el ingrediente secreto para la fidelización del cliente?

Perfil de los españoles frente a los pagos online

5 herramientas esenciales en tu servicio de atención al cliente

El e-commerce transfronterizo: el comercio de las especias del siglo XXI

EDUCATEME, o cómo hacer que el atasco de 2016 no se repita

¿Qué le falta a Amazon para controlar la cadena de suministro completa?

Optimizar el modelo de negocio para fidelizar clientes

Ecommerce Tour Sevilla: Más allá de Amazon: ganar dinero con Nichos de negocio en eCommerce (Vídeo)

Ecommerce Tour Sevilla: La financiación en ecommerce para aumentar tus ventas (Vídeo)

Ecommerce Tour Sevilla: Mesa Redonda Scalpers, BariVIP, Electrocosto.com, Queraltó (Vídeo)

Ecommerce Tour Sevilla: Cómo gestionar la logística en tu negocio online (Vídeo)

Ecommerce Tour Sevilla: Caso de éxito de TiendAnimal (Vídeo)

Viernes Digital ePayments: La inversión de IBM en la próxima evolución en los medios de pago

Viernes Digital ePayments: La realidad de los medios de pago del ecommerce en España (Vídeo)

Más leídas

Amazon lidera el ecommerce en España, con una facturación de 871 MM€ en 2016; El Corte Inglés segundo con 651 MM€

Amazon lidera el ecommerce en España, con una facturación de 871 MM€ en 2016; El Corte Inglés segundo con 651 MM€

Amazon y el cierre de BuyVip; “A pesar de los esfuerzos, el negocio no era rentable”

Amazon y el cierre de BuyVip; “A pesar de los esfuerzos, el negocio no era rentable”

House Of Cards o cómo Netflix usó el Big Data para crear un éxito

House Of Cards o cómo Netflix usó el Big Data para crear un éxito

¿Cuáles son las marcas con mayor alcance publicitario online en España?

¿Cuáles son las marcas con mayor alcance publicitario online en España?

PcComponentes potencia su estrategia omnichannel con la inauguración de su tienda física en Madrid

PcComponentes potencia su estrategia omnichannel con la inauguración de su tienda física en Madrid

Infografía: Tasa de abandono en eCommerce España 2016

Infografía: Tasa de abandono en eCommerce España 2016

¿Cuáles son las 10 webs más visitadas a nivel mundial?

¿Cuáles son las 10 webs más visitadas a nivel mundial?

La Experiencia Virtual y la Inteligencia Artificial revolucionan el futuro del Comercio Electrónico

La Experiencia Virtual y la Inteligencia Artificial revolucionan el futuro del Comercio Electrónico

Ecommerce Tour Sevilla supera la asistencia de 500 personas

Ecommerce Tour Sevilla supera la asistencia de 500 personas

El comercio electrónico supera en España los 6.100 MM€ en el tercer trimestre de 2016, un 16,3% más que el año anterior

El comercio electrónico supera en España los 6.100 MM€ en el tercer trimestre de 2016, un 16,3% más que el año anterior

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE