Emailing
La realidad de la normativa de protección de datos entre la UE y Estados Unidos y su cumplimiento
Los cambios en materia de protección de datos personales en cualquier lugar del mundo pueden tener repercusiones para el profesional del email marketing, tanto si está en la Unión Europea como en Estados Unidos o en otros países. Aquí te comentamos la ADPPA y lo que puede suponer para ti el proyecto de acuerdo sobre la transferencia de datos de un lado a otro del Atlántico.
Recientemente ha habido titulares sobre un acuerdo para proteger los datos personales procedentes de la UE que se transfieran a Estados Unidos. También se habla de un amplio proyecto de ley sobre protección de datos personales a nivel federal estadounidense.
Ahora, la pregunta es: ¿van a cambiar las cosas de verdad o se trata solo de ruido político?
La Ley Americana de Protección de Datos (American Data Privacy Protection Act, ADPPA) sigue completando etapas del proceso legislativo estadounidense y podría acabar siendo el RGPD de ese país. Entre tanto, la UE y el gobierno de EE. UU. afirman que el Marco Transatlántico de Privacidad de Datos mantendrá los datos de los ciudadanos de la UE fuera del alcance de las agencias de inteligencia estadounidenses, salvo en casos de absoluta necesidad.
Y en este momento surge la cuestión: ¿qué suponen estas nuevas leyes y marcos para ti como profesional del email marketing? ¿Cómo sabes si tu proveedor de servicios de envío de emails (ESP) cumple o no las reglas? Para aclarar las confusiones en torno a todo este horizonte, vamos a ir por partes.
Tabla de contenidos
Problemas del Marco TDPA
Problemas de la ADPPA
Más información sobre la protección de datos personales y Mailjet:
¿Qué es la ADPPA?
La ADPPA es la última propuesta de pacto entre los dos grandes partidos para aprobar una ley de protección de datos personales en Estados Unidos.
Han pasado cuatro años desde que el Reglamento General de Protección de Datos (RGPD) se convirtió en derecho de aplicación general en la Unión Europea. Además, también tiene la obligación de cumplirlo cualquiera que maneje información personal identificable que pertenezca a ciudadanos comunitarios. Por tanto, la conformidad con el RGPD es un asunto de alcance global.
Al otro lado del charco hay un panorama distinto. Ahora mismo no hay ninguna norma nacional que defina la protección de datos personales de los ciudadanos estadounidenses. Como mucho, algunos Estados han elaborado legislación local propia al respecto. En particular, está la California Consumer Privacy Act, que da a los californianos una protección comparable a la del RGPD.
Como podrás imaginar, tener un conglomerado de normas que cambian de un Estado a otro hace que cumplir con la protección de datos sea más complicado y engorroso. Contar con una ley federal les facilitaría la vida a las empresas que recopilen, almacenen y traten datos de los consumidores.
La gran promesa de la ADPPA es que definiría claramente los derechos individuales en este ámbito y lo que se exige a las entidades que, desde cualquier parte del mundo, traten información personal identificable de ciudadanos estadounidenses.
Sin embargo, desde una perspectiva internacional esto no es para nada fácil. De hecho, basta con mirar los problemas con los que EE. UU. y la UE han tenido que lidiar con respecto a cómo se deben proteger estos datos si cruzan el Atlántico. El ejemplo más claro es el fiasco en torno al marco del Escudo de privacidad UE-EE. UU. Sabiendo esto, ¿va a servir para algo un marco nuevo?
¿Qué es el Marco Transatlántico de Privacidad de Datos?
El Marco Transatlántico de Privacidad de Datos (TDPA, por sus siglas en inglés) es un nuevo acuerdo jurídico entre la Unión Europea y Estados Unidos pensado para sustituir el llamado Escudo de privacidad UE-EE. UU., ante el hecho de que el Tribunal de Justicia de la Unión Europea (TJUE) invalidó este último en 2020. De esta forma, a día de hoy no se dispone de ningún marco específico por el que las empresas puedan regirse para hacer transferencias UE-EE. UU. conformes con el RGPD.
Se suponía que el Escudo de privacidad sería una solución que garantizaría el cumplimiento del RGPD al compartir datos entre la UE y EE. UU. ¿Fue este el resultado? Pues no.
El mayor problema del Escudo de privacidad es que no cuenta con límites suficientes sobre las situaciones, modos y motivos por los que las agencias de inteligencia estadounidenses pueden acceder a datos de ciudadanos de la UE. La legislación de seguridad nacional en Estados Unidos le da a la Administración rienda suelta para acceder a lo que quiera, y a los defensores de la protección de datos personales europea esto no les hace ninguna gracia. Si una empresa de la UE tiene información almacenada en centros de datos estadounidenses, la CIA, el FBI y hasta las fuerzas policiales locales pueden solicitar acceso a ella. Hay fundamentos jurídicos para denegárselo, pero son limitados. Lo mismo pasa con cualquier empresa estadounidense que tenga clientes o suscriptores europeos.
En el centro de esta polémica está un activista en concreto: Max Schrems, quien, una vez promulgado el RGPD, demandó a grandes tecnológicas como Facebook, Google y Apple. Este litigio (que lleva el nombre de Schrems II) acabó conduciendo a la invalidación del Escudo de privacidad.
En este contexto, el nuevo Marco TDPA (a veces denominado Escudo de privacidad UE-EE. UU. 2.0) propone una serie de cambios en el mecanismo de transferencias legales, para adecuarlo más al RGPD. La UE y Estados Unidos proclamaron ya en marzo de 2022 su compromiso de poner en pie un acuerdo actualizado. De hecho, esto es lo que anunció la Casa Blanca en un comunicado oficial:
“Para los particulares de la UE, el acuerdo incluye nuevos compromisos de alto nivel en materia de protección de datos personales. Para los ciudadanos y empresas de ambos lados del Atlántico, posibilitará la continuación de la circulación de datos, que sustenta más de un billón de dolares de comercio transfronterizo cada año, y permitirá a negocios de todos los tamaños competir en todos nuestros mercados”.
Hoja informativa de WhiteHouse.gov
En otras palabras: el Atlántico no solo lo cruzan datos sino también muchísimo dinero, y desde ambas orillas queremos seguir haciendo negocios con los de enfrente.
¿Y ahora qué va a pasar?
Cómo están las cosas en el momento de publicar este artículo:
La ADPPA ha sido aprobada por una comisión de la Cámara de Representantes y el paso siguiente es que la vote el pleno de la Cámara. Es decir: que el Congreso ha aprobado plantear la posibilidad de aprobarla como ley, pero aún tiene que pasar por la Cámara de Representantes y el Senado y luego tiene que firmarla el presidente Biden.
El TDPA está ya acordado en cuanto a los principios y se está materializando en documentos jurídicos que se formalizarán como orden ejecutiva del presidente Joe Biden.
El Escudo de privacidad sigue en vigor, pero no basta para garantizar el cumplimiento completo del RGPD.
Cuando quedó invalidado el Escudo de privacidad, a las empresas les quedaron otras formas de mantenerse dentro del RGPD. En particular, la UE propuso la adopción de cláusulas contractuales tipo (CCT), junto con medidas complementarias cuando sea necesario. Básicamente, las CCT constituyen un acuerdo jurídico con los responsables y encargados del tratamiento de datos de uno y otro lado del Atlántico (o de cualquier lugar de fuera de la UE) sobre cómo van a tratar los datos personales. Las medidas complementarias son pasos adicionales aplicados para proteger la privacidad de los ciudadanos europeos y garantizar que las empresas cumplan estas obligaciones.
Sería razonable pensar que si la ADPPA sale adelante y también entra en vigor el Marco TDPA, se habrá acabado toda la preocupaci ón e incertidumbre que hay ahora. Desgraciadamente, es muy posible que no sea así. Esto es lo que opinamos nosotros sobre lo que va a ocurrir:
Problemas del Marco TDPA
Si bien el Marco TDPA puede paliar algunas inquietudes con respecto al acceso por parte de las agencias de inteligencia estadounidenses, quedan cuestiones pendientes (como en tantas y tantas cosas).
Para empezar, el hecho de que le llamen “Escudo de privacidad 2.0” no es casualidad, porque el proceso para obtener la acreditación de este marco no cambia mucho en comparación con la versión anterior. Quizás el mayor problema radica en que ambas propuestas implican un procedimiento de autocertificación.
Básicamente, cualquier empresa con sede en Estados Unidos puede entrar en la web del Escudo de privacidad, rellenar una solicitud, enviar información de su política de privacidad y recibir la certificación. El asunto es que tal autocertificación no es garantía de conformidad con el RGPD.
Por ejemplo, en una demanda de la Comisión Federal de Comercio (FTC) estadounidense se adujo que, a la hora de certificarse a sí misma en la web del Escudo de privacidad, Twitter se declaró falsamente como conforme con el marco. En la lista del Escudo de privacidad hay más de 3000 autocertificaciones activas, y resulta difícil creer que sean todas legítimas.
Lo que sí queda claro es que no deberías tomar el Marco TDPA como garantía de que tú o un proveedor de servicios al que recurras tengáis conformidad con el RGPD. Mientras no sea ley, el mecanismo TDPA es poco más que un apretón de manos con buenas intenciones entre la UE y EE. UU.
Problemas de la ADPPA
La ADPPA incluye medidas que los defensores de la privacidad y los derechos civiles aplauden, como normas contra la discriminación o requisitos más estrictos sobre ciberseguridad. Y lo cierto es que contar con una ley integral de protección de la privacidad en Estados Unidos sería algo bueno para prácticamente todos los implicados, especialmente si es acorde con el RGPD.
Sin embargo, el problema es que en torno a este proyecto de ley sigue habiendo muchísima incertidumbre. De aquí a que se apruebe (suponiendo que lo haga) pueden pasar muchas cosas. Los grupos de presión, como por ejemplo las grandes tecnológicas, pueden querer que se introduzcan cambios y las elecciones a mitad de mandato pueden modificar el equilibrio de fuerzas en el Congreso.
Otro problema es que la ADPPA reemplazaría las normas de protección de la privacidad de los Estados, lo cual no les gusta nada a algunos líderes políticos y de opinión, que consideran que lo que debe hacer la ley federal es proporcionar un fundamento que luego cada Estado enriquezca con sus propias normas.
Lo previsible es que la ADPPA se apruebe como muy temprano a finales de 2022, pero la verdad es que el Congreso no se distingue por su rapidez y eficiencia a la hora de aprobar leyes. Una vez aprobada la norma, las entidades tendrían dos años más para ajustarse a ella (como ocurrió con el RGPD en 2016). De esta manera, la ley federal de protección de datos no estaría en vigor por lo menos hasta 2025. ¿Y entre tanto qué vas a hacer?
El enfoque de Mailjet sobre la legislación de protección de datos
En Sinch Mailjet, en vez de estar de brazos cruzados a la espera de que salgan nuevas leyes de protección de la privacidad y acuerdos jurídicos internacionales, lo que hacemos es aplicar un enfoque proactivo.
Mailjet se toma sumamente en serio la protección de datos personales y el cumplimiento del RGPD. De hecho, fuimos la primera empresa del mundo que logró certificación RGPD por parte de AFNOR, tan solo unas semanas tras aprobarse este reglamento. Además, Mailjet fue el primer proveedor de servicios de envío de emails que obtuvo certificación por la norma ISO 27001, que garantiza que ofrecemos los más altos niveles de seguridad y protección de datos personales del sector, y esto fue incluso seis meses antes del RGPD.
En vez de estar esperando a que salgan los cambios en la normativa de privacidad, nuestro planteamiento es adelantarnos a ellos y actuar ya, para dar a nuestros clientes la seguridad de que sus datos están protegidos.
Mailjet y nuestra empresa hermana, Sinch Mailgun, vamos a seguir utilizando nuestras CCT con nuestros clientes y evaluando y abordando periódicamente los posibles riesgos para la seguridad y la privacidad de los datos. Nosotros estamos en condiciones de acreditar que cumplimos la normativa y las mejores prácticas porque contamos con certificaciones ISO y nos sometemos a auditorías externas que incluyen controles sobre el RGPD.
Y hay un factor todavía más importante para los profesionales del email marketing europeos y estadounidenses.
Mailjet se fundó en Francia y mantiene presencia física en Europa, con centros de datos en países como Alemania y Bélgica. Por ello, nos resulta más fácil proteger los datos de los ciudadanos de la UE, ya que, de entrada, no hay necesidad de mandarlos al otro lado del Atlántico.
Además, aplicamos el principio de minimización de datos, según el cual limitamos el acceso a los datos de los clientes, restringiéndolo a lo imprescindible para realizar las funciones necesarias en cada caso. Para incorporar una capa más de seguridad, integramos la privacidad en el diseño de nuestros productos, asegurándonos de incorporar medidas de orden técnico y organizativo que constituyen parte de los propios sistemas informáticos.
Más información sobre la protección de datos personales y Mailjet:
Consulta nuestro Acuerdo de Tratamiento de Datos
Echa un vistazo a las preguntas frecuentes sobre la seguridad y la privacidad en Mailjet
Mira este artículo que explica la protección de datos personales y la seguridad en Mailjet
Explora nuestro centro de recursos sobre el RGPD para saber más sobre la normativa de protección de datos
¿En quién se puede confiar?
Para que tu entidad sea conforme con el RGPD, tienes que asegurarte de que tus proveedores y otros terceros colaboradores entiendan bien la legislación de protección de datos personales y la cumplan. Esto incluye a tu proveedor de servicios de envío de emails.
En Sinch Mailjet nos tomamos como cuestión de orgullo profesional estar en la vanguardia de la protección de datos y la seguridad. Por ello, vamos más allá de lo común a la hora de proteger los datos personales de nuestros clientes y de cada uno de los suscriptores de sus listas.
Si una empresa te dice “¡tú no te preocupes!” porque con la nueva versión del Escudo de privacidad y la ADPPA va a ser todo sencillo, no les creas.
Cuando Mailjet te dice “¡tú no te preocupes!” es porque dominamos al detalle la legislación de privacidad de datos y qué es lo que hay que hacer para estar al día con normas como el RGPD. Por tanto, si lo que quieres es un proveedor de envío de email en el que confiar, no busques más.