No, nadie ha prohibido el uso en España de Dropbox ni de Google Apps…

Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps - El ConfidencialPocas veces me han contactado tantas personas por correo electrónico, Twitter, Facebook, etc. tan nerviosas por una noticia como las que lo han hecho al leer ésta de El Confidencial titulada “Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps“. Cierto es que la redacción de la noticia, con un titular completamente categórico y – desde mi punto de vista, al menos – sensacionalista, invita a tener miedo y amenaza incluso con sanciones, pero creo que el sentido común, por mucho que en tantas ocasiones sea el menos común de los sentidos, debería prevalecer aquí.

No he hablado con la Agencia Española de Protección de Datos ni he visto el documento con el ultimátum al que se refiere la noticia, y sí he podido leer, en cambio, la aclaración publicada al respecto por la propia AEPD, que supone un desmentido en toda regla. Pensar que a partir del día 29 de enero se prohibiría el uso de herramientas como Dropbox o Google Apps a todas las empresas españolas me parecía tan increíblemente absurdo y demencial, que en caso de ser cierto creo que deberíamos directamente cerrar el ordenador, cerrar España, y dedicarnos a otra cosa. Sí, la AEPD es capaz de lo mejor y de lo peor, ha sido históricamente protagonista de que algo deseable como la defensa de la privacidad se convierta en una desventaja competitiva de primer orden y en un incremento absurdo del coste de hacer negocios en nuestro país, y además, tiene tradición y hasta incentivos para llevar a cabo su función sancionadora. Pero de ahí a prohibir el uso de herramientas como si fuese la Santa Inquisición Española, me parece que va un trecho importante. Como dice textualmente en su aclaración, “la AEPD no ha dado ningún ultimátum a las empresas españolas”, y “las acciones de la Agencia no están orientadas a la prohibición de utilizar herramientas concretas”. La AEPD, sencillamente, no se dedica a eso. 

De acuerdo, los Estados Unidos han perdido su estatus de puerto seguro para la transmisión de datos, y lo han hecho por razones que entran dentro de la lógica: han demostrado ser auténticos irresponsables a la hora de garantizar la privacidad de los ciudadanos no norteamericanos. Hablamos de ello en su momento, y era evidente que iba a tener algunas consecuencias. Fundamentalmente, eso quiere decir que no debemos tener ficheros con datos de clientes en herramientas que lleven a cabo una exportación de los mismos. Que aquellos ficheros que hayamos depositado con la AEPD, por tanto, deberán estar seguros dentro de las fronteras de la Unión Europea, y por tanto, no ser exportados a servidores norteamericanos. Además, hay algunas herramientas que, por el momento, no han llevado a cabo ningún anuncio relacionado con la compliance , o cumplimiento, de la nueva norma. No han avisado a sus usuarios de si son capaces de llevar a cabo sus actividades mediante servidores situados en la Unión Europea, por ejemplo. Por tanto, si pasado el plazo correspondiente, la AEPD fuese capaz de demostrar que estamos exportando datos de nuestros clientes a un país considerado como puerto no seguro, podríamos tener un problema.

De ahí a que “se prohiba” el uso de Dropbox y Google Apps va, entiendo, un largo trecho. Por un lado, muchas empresas utilizan Google Apps o Dropbox para el desarrollo de su actividad en tareas que nada tienen que ver con el tratamiento de los datos de sus clientes, con documentos que no son bases de datos ni incluyen información sobre clientes específicos. Simplemente, para trabajar documentos en grupo, para acceder a ellos desde cualquier lugar o dispositivo, etc. Que la AEPD fuese a desarrollar los procedimientos necesarios para intentar demostrar si los documentos que una empresa maneja en Dropbox o en Google Apps contienen o no información de clientes me parecería harto complejo, y además, poco operativo. La verdad, no lo veo, y si ocurre, querría decir que alguien en la AEPD se habría vuelto completamente loco.

Por otro lado, existe la posibilidad de solicitar a estas compañías que, si no quieren que interrumpamos nuestra actividad con ellos, garanticen que el almacenamiento de nuestros datos tiene lugar en suelo europeo. Es complicado, pero no imposible: BBVA, por ejemplo, es uno de los mayores clientes de Google Apps, y tiene aparentemente negociado ese acuerdo desde la firma del contrato. Si herramientas como Dropbox, Google Apps y otras empiezan a encontrarse problemas de ese tipo que, al menos en teoría, podrían llegar a convertirlos en irrelevantes en un mercado como el europeo, lo racional sería pensar que desarrollarían algún tipo de procedimiento para poder continuar con su actividad sin problemas. Nadie se enfrenta sin hacer nada a la pérdida de un mercado estratégico.

Anunciar que “se prohibe el uso” de algo y hablar de “ultimátum” me parece sensacionalista, y dudo muy sinceramente que la AEPD haya utilizado esos términos con nadie. Si herramientas en la nube como Dropbox o Google Apps forman parte habitual de nuestros procesos de negocio, sería interesante ponerse en contacto con ellos y preguntarles si van a hacer algo que permita demostrar que su uso es seguro para sus usuarios desde suelo europeo. El caso de Google Analytics o Google Adsense me parece bastante más traído por los pelos: sí, hay algo de información de los usuarios, pero ¿realmente nos imaginamos a la AEPD multándonos porque mantenemos una base de datos con direcciones IP o datos de los ordenadores de quienes visitan nuestra página? El caso de MailChimp podría llegar a ser más complejo por su propia naturaleza (usa listas de direcciones de correo electrónico para llevar a cabo envíos de newsletters y otras comunicaciones), pero aún así, sería cuestión de preguntar a la propia MailChimp si va a hacer algo al respecto, o consultar con la AEPD, que no iniciaría una cadena de multas sin haber notificado antes oficialmente de manera directa la cuestión. Y ya herramientas como “Facebook, Flickr, Instagram e incluso Twitter” que menciona la noticia… sería ya directamente demencial. Si las empresas españolas, de la noche a la mañana, son sistemáticamente excluidas del uso de todas esas herramientas, estaríamos hablando de una debacle y de un problema de pérdida de competitividad importante, de prácticamente volver a la Edad de Piedra, mucho más de lo que la AEPD podría afrontar con una medida. Hablaríamos literalmente de matar moscas a cañonazos, de un absurdo desde todos los puntos de vista. 

La noticia sigue en El Confidencial, y por el momento, no ha sido enmendada ni con la aclaración de la AEPD ni con ningún otro comentario. Como comentábamos, un uso irresponsable de los titulares, y una interpretación ya no exagerada, sino exageradísima de una información.

No, no te creas todo lo que lees en la prensa.

 

This article is also available in English in my Medium page, “Spain, data protection, and safe harbors” 

 

26 comentarios

  • #001
    Nuria Cámaras - 9 diciembre 2015 - 15:25

    Hola Enrique.

    Totalmente de acuerdo contigo. No tiene ningún tipo de sentido lo que se está publicando. He llegado a leer que utilizar el widget de Twitter en tu sitio web será ilegal. Perdona, ¿cómo?

    Yo utilizo Mailchimp para mis newsletters y tengo pendiente escribirles para preguntarles acerca de todo esto, pero creo que estás en lo cierto. De hecho, las empresas españolas y europeas de email marketing se están aprovechando de estos titulares sensacionalistas para beneficio propio y para ganar clientes ahora que todo está en duda.

    Un saludo.

  • #002
    Miguel Ángel Ruano - 9 diciembre 2015 - 15:27

    MailChimp ha habilitado una web para firmar una cuerdo entre la empresa y el responsable del tratamiento de los datos personales para cumplir la normativa europea (http://mailchimp.com/legal/forms/data-processing-agreement/), aunque este acuerdo hay que presentárselo a la AEPD para que lo apruebe cuando damos de alta una lista en la agencia.

  • #003
    Jose F. - 9 diciembre 2015 - 15:55

    La AEPD ya ha reaccionado https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/AplicacionSentenciaSH-ides-idphp.php

    • Jose F. - 9 diciembre 2015 - 15:56

      (No considerar: el comentario anterior: no me dí cuenta que ya estaba incluido en el post. Es lo que tiene la lectura en diagonal)

  • #005
    Nestic - 9 diciembre 2015 - 16:06

    El Confidencial lleva un tiempo en una especie de “deriva por el click” preocupante. Ha sido y es una referencia, pero cada vez tengo más reticencias en navegar por su web, los titulares están perdiendo fiabilidad.

    Ellos verán, la cuenta de la reputación es bastante booleana, una vez que se pierde es difícil recuperarla, sobre todo si aparece un sustitutivo, El Español, por ejemplo, que espero que no sigan ese camino.

  • #006
    skeptic - 9 diciembre 2015 - 16:33

    La AGPD siempre ha considerado las direcciones IP como información personal. Personalmente me parece absurdo, pero como es así, a día de hoy sería ilegal utilizar el script de Analytics, aunque es de esperar que Google reaccione antes del 29 de enero.

    De todas formas siempre se puede usar Piwik manteniendo el control de los datos y con excelentes resultados.

  • #008
    Chema Cepeda - 9 diciembre 2015 - 16:49

    Pues esto es lo que dice Mailchimp http://kb.mailchimp.com/es/accounts/management/about-mailchimp-and-eu-safe-harbor

    Básicamente que cada usuario se compromete a cumplir con las leyes aplicables, lo que deja poco margen de maniobra para seguir usando su servicio

  • #009
    Juan Lupión - 9 diciembre 2015 - 17:01

    En lo referente a Google Apps for Work: cuando saltó la noticia de la anulación del puerto seguro, Salesforce envió (en cuestión de horas) un correo notificando de la existencia de un “data processing ammendment” para sus clientes. Pues bien, este Data Processing Ammendment de Salesforce es exactamente igual que el que ya ofrece desde hace tiempo Google para los clientes de Apps for Work que hayan marcado la casilla corresondiente en el cuadro de mandos de Google Apps.

    Así que, por lo que yo entiendo, los usuarios de Google Apps for Work tendrán que registrar ante la AGPD los ficheros correspondientes que estén usando (y esto incluye el uso de Drive y correo) presentando como evidencia este documento contractual que suministra Google.

    En el caso de Microsoft, han sido bastante más hábiles con 365, presentando ellos la documentación por su cuenta ante la AGPD (como se describe aquí.

    Cabe esperar que Google haga un movimiento similar. y supongo que el resto de proveedores harán algo parecido a lo de Salesforce, que es presentar un data processing ammendment.

    Por último, a notar que Amazon está más o menos ausente de esta polémica debido a que ofrece los servicios de computación en cloud directamente en territorio europeo (si el cliente así lo ha contratado)

    De todas formas, el asunto es notable por las penalizaciones que hay en juego y desde luego no es como para tomárselo a la ligera.

    • alvaro - 10 diciembre 2015 - 22:50

      Suscribirme a tu comentario , Juan. Únicamente comentarte que a día de hoy contactando directamente con la Agencia Española de Protección de Datos y comentándoles que en mi empresa se usa Google Apps for Work y mi preocupación por ello, y hablándoles también del “data processing ammendment” y sus cláusulas que saco Google me puntualizan lo siguiente:
      1- que el procedimiento sería solicitar la autorización a la Directora de la AGPD para la transferencia de datos internacional, acompañando dicho contrato (que por cierto está en inglés) , junto con una traducción jurada (que lleva un coste) y que NO va a conceder la autorización ya que a día de hoy Google no da un poder de representación para la firma de ese contrato entre Google y cada empresa o pyme española.
      2- Preguntando opciones me hablan de dos :
      2.1-Cambiar a un proveedor que nos garantice los datos en territorio europeo
      2.2- Que todos nuestros emails vayan con una coletilla en el que se recoja el consentimiento de los titulares de los mismos

      En fin , esto pasa cuando la gestión se encarga a políticos y no a profesionales

  • #011
    Rafael Martínez - 9 diciembre 2015 - 17:30

    Muchas gracias por las aclaraciones. Era de suponer que sería tal y como dices, pero se ha generado un revuelo bastante importante. Lógico, por otro lado.
    Respecto a Mailchimp, creo que ya está poninedo en marcha algunas cosas… http://mailchimp.com/legal/forms/data-processing-agreement/
    Saludos.

  • #012
    Natxo - 9 diciembre 2015 - 18:41

    El cloud de IBM (IBM Bluemix) tampoco se vería afectado porque ya ofrece trabajar con regiones independientes y una de ellas es la Union Europea.

  • #013
    Julio Aliaga - 9 diciembre 2015 - 19:04

    Gracias Enrique. Totalmente de acuerdo. Y sin embargo sigo sin ver lógico muchas de las reglamentaciones e intentos de legislación que en vez de fomentar y facilitar innovación, ponga más trabas burocráticas. (ya la forma de como lo cuentan los medios en sus titulares es para darles de comer aparte, y bien lejos). Gracias de nuevo por tus impresiones, pero acostumbrado a ver cafkianadas en los intentos de legislación nacionales y europeos al respecto de Internet (YA dijiste hace mucho tiempo que es un ente propio, o se comporta como tal, y que por muchos obstáculos que se le pongan se adaptará con mucha mayor rapidez de lo que se puede intentar parar) el texto del artículo (que no sólo el titular) me pareció de lo más tremendo. DE ahí mi tuit (seguramente como el de muchos otros). Reitero, gracias.

  • #014
    Enrique Alonso - 9 diciembre 2015 - 20:27

    Hola Enrique,
    Hemos publicado instrucciones de cómo los clientes de Google Apps pueden firmar las cláusulas contractuales. Por cierto, que llevan ya muchos tiempo disponibles como garantías adicionales a Safe Harbour.
    http://www.eadea.net/blog/no-es-cierto-ultimatum-de-la-aepd-a-empresas-espanolas-prohibido-usar-google-apps

    Saludos,
    Enrique

  • #016
    Gorki - 9 diciembre 2015 - 20:45

    Ya es bastante complejo diferenciar lo que son y no son datos de clientes a proteger,.( por ejemplo, códigos como su número de teléfono, o la talla que usa, ¿son datos a proteger o no?), como para además que me preocupe donde.está situado el servidor que contiene los datos físicamente, en Europa o en USA, Y si consigo que me garanticen que el servidor está en Europa, ¿Cómo puedo evitar que ese servidor haga periódicamente, una copia de seguridad en USA?

    Desgraciadamente, (o por suerte, vaya vd. a saber), las leyes sólo tiene vigencia en el territorio donde se emiten, pero carecen de validez fuera de ese territorio. Pero lo cierto, y parece que los políticos no son conscientes de ello, es que Internet, no está en un territorio, sino en “la nube”. Por tanto, si tiene que haber leyes para ella, (y yo opino que debe haberlas), tendrá que dictarlas un organismo supranacional y a mi solo se me ocurre, un organismo emanado de la ONU, como es la OMS o la Unesco que por el momento está sin crear.

    El intento de legislar locálmente sobre Internet , es similar a legislar localmente sobre lo que pueden o no pueden hacer los satélites artificiales que rodean la tierra, Un absurdo.

  • #017
    Nacho Blanco - 9 diciembre 2015 - 21:05

    Entonces, Enrique, ¿debemos dejar que los datos de nos ciudadanos europeos (que, en mi humilde opinión, están muy por encima de cualquier empresa), puedan ser utilizados para los fines de un gobierno particular, porque hemos permitido tener una dependencia cuasi absoluta de las empresas de dicho país?

    Yo veo el problema más alla: por un lado, la incapacidad europea de competir cara a cara con esas empresas estadounidenses, ofreciendo una alternativa real, en suelo europeo. El gran problema de que EE.UU. ha utilizado datos de personas y empresas europeas no se sabe para qué (hay empresas que dicen haberse visto superadas por empresas estadounidenses de formas que sólo habrían sido posible gracias a un acceso ilegítimo a su información almacenada en estos servicios).

    Veo muy bien que la AEPD controle este tema muy de cerca y que sancione contundentemente, pues estamos jugando, nada más y nada menos que con los datos privados de los ciudadanos europeos.

    • Elena Benito - 10 diciembre 2015 - 08:56

      Pues que sancione a las empresas EEUU que usan estos datos, o fuerce a su aliado -gobierno de EEUU- a hacerlo. Como no pueden ni quieren, deciden poner puertas al campo y proteger al desprotegido multándole. Es un acto de genios, típicamente paternalista-proteccionista-europeo, de la vieja clase, de esos que no saben qué es una API (mmm, a ver, a ver, todas esas empresas españolas que usan Zoho que se integra en Google Apps que levanten la mano a la de 3, 2…)

      Por cierto me han llegado vía clientes emails de la AEPD con requerimientos sobre determinadas transferencias de datos, o sea algunas empresas ya están recibiendo el toque.

      Yo he pensado integrar a mansalva iubenda.com que por lo menos tienes unos terms actualizados, bien detallados, y explicados y nadie puede decir que no lo dejas claro al usuario si sigue navegando.

  • #019
    Francisco López - 9 diciembre 2015 - 22:05

    Parece que hay luz al final del tunel

    http://www.ticbeat.com/tecnologias/eeuu-la-ue-alcanzan-acuerdo-para-actualizar-el-safe-harbor/

  • #020
    AntiLOPD - 10 diciembre 2015 - 00:00

    Digámoslo claramente la LOPD no sirve para nada, es un impuesto más. Tengo una empresa, y ni cumplo ni pienso cumplir con semejante ley.
    De ahí a tonterías como las de esta noticia solo hay un paso. Si han prohibido los enlaces ¿por qué no prohibir usar Dropbox?

  • #021
    Klaus Gromenauer - 10 diciembre 2015 - 01:25

    Bueno yo no descartaría nunca que haya algún que otro pirado en la AEPD, sí que a estas alturas ya me creo cualquier cosa.

    Como les suelo decir a mis jefes en la empresa donde curro, las políticas de seguridad están muy bien… siempre y cuando no impidan el normal desarrollo del trabajo diario. Yo he llegado a verme en situaciones en que políticas desarrolladas por alguien que no tiene NI PAJOLERA IDEA de mi trabajo, directamente me han impedido llevarlo a cabo. Pues bien los políticos de este país muchas veces hacen las cosas así.

    Como bien dice Enrique, esperemos que nuestro “amado” gobierno no nos lleve a la edad de piedra tecnológica para proteger intereses “extraños”.

  • #022
    DaF - 10 diciembre 2015 - 09:32

    Menuda empandada general.

    Lo que dice la Agencia es que, una vez el “Safe Harbour” ha sido tumbado por el Tribunal de Justicia de la UE, las empresas que trabajen con encargados del tratamiento de los Estados Unidos deben pedir la autorización de transferencia internacional de datos, igual que pasa si transfieres datos a países que no tengan una legislación tan garantista como la europea (que son la mayoría).

    Si el proveedor es alguien mínimamente solvente (Google, Microsoft, Apple, Paypal, etc,), esa autorización es un puro trámite.

    Vamos, que ni prohibición, ni nada.

    De hecho una empresa puede seguir trabajando con USA sin dicha autorización, pero se enfrenta a procedimientos sancionadores (multas).

    Btw, todo el mundillo sabía que el Safe Harbour era una patraña metida con calzador. Ahora seré un poco consporanoico, pero se dice por ahí que tumbar ese tratado se debe a la guerra abierta por lo de VW.

  • #023
    Ignacio Baixauli - 10 diciembre 2015 - 13:58

    Último comunicado de la AGPD o AEDP
    https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/AplicacionSentenciaSH-ides-idphp.php

  • #024
    Javier Torre - 10 diciembre 2015 - 17:37

    Buenas. Interesantes las reflexiones ante el “caos” e incertidumbre que ha generado la información sobre USA y el Safe Harbor. Queda claro que no hay prohibición pero sí que hay un riesgo en el que es fácil caer a nada que uno se despiste un poco. Olvidándonos de Google Apps, simplemente mirando a los servicios gratuitos de Gmail y Google Sites (Fuera del ambito de Google Apps) que se utilizan por muchas organizaciones como herramientas de correo y web…da vertigo. ¿Alguien podría matizar si Gmail o Gogle Sites están al mismo nivel de riesgo que Google Apps o suponen aún un mayor riesgo?. Saludos.

  • #025
    José Miguel Aparicio - 10 diciembre 2015 - 19:34

    Hola a todos, menos al antilopd. Desde luego yo no comparto esa opinión ni dejo mis datos a nadie que no cumpla con la norma. Allá cada cual con su vida. Creo que la AEPD siempre va un pasito por detrás de la realidad empresarial. Y cuando mueve algo lo hace a destiempo y de forma enrevesada. Creo que la solución habría sido ponerse en contacto con las empresas proveedoras y mostrarles el camino. Se crea un contrato con un pliego de condiciones obligatorias a cumplir y que ellas mismas lo hagan llegar, y firmar, a todos los usuarios de sus servicios. Eso prestigiaría a la propia Ley y a la Agencia. Y no sufriríamos mareos como el que llevamos estos dos días.
    Un 10 a Enrique Dans por esta web.

  • #026
    Alvaro - 12 diciembre 2015 - 11:21

    De todas formas siempre se puede usar Piwik manteniendo el control de los datos y con excelentes resultados.

Dejar un Comentario

Los comentarios están cerrados