La invalidez del acuerdo afecta a todas aquellas empresas y profesionales europeos que utilizan plataformas digitales con transferencia de datos (un e-mail lo es), y tienen sede en EEUU (o en su defecto, servidores en su territorio). Es decir, si usamos por ejemplo Mailchimp para enviar newsletters. O transferimos archivos vía Dropbox. O si usamos Google Apps…
Seguramente ahora hemos captado tu atención, porque pocos estaremos exentos de entrar en la categoría de «afectado por el fin del Safe Harbor».
Resumiremos los elementos que intervienen en esta complicada situación:
Por una parte, el acuerdo de Safe Harbor, alcanzado entre la UE y EEUU allá en Julio del 2000, por el cual se garantizaba un «puerto seguro» por parte de EEUU, que venía a ser un nivel adecuado de protección de todos los datos personales transferidos entre ambas comunidades, a través de sus diferentes canales digitales y sistemas de comunicación (redes).
Por otra, un estudiante austríaco, usuario de Facebook quien decide protagonizar la denuncia contra Facebook ante la autoridad irlandesa (recordemos que Facebook tiene su central europea en Dublin), partiendo del hecho de que todos los datos publicados en esta red social se transfieren a EEUU, ya que los servidores están ubicados en territorio americano. Según Schrems, EEUU no garantiza una protección suficiente de datos transferidos…
Y por último, estaban todas las empresas que habían estado al amparo del acuerdo, desde Facebook hasta Mailchimp… El revuelo estaba servido. 
A raíz del conflicto, el Tribunal de Justicia de la Unión Europea (TJUE), publicó una sentencia en Octubre del pasado año (2) que invalidaba el Safe Harbor, alegando que no podía seguir realizándose transferencias de datos bajo esta base legal. Se basaba en dos puntos clave: un Estado no puede optar a la tutela de datos personales porque contraviene el interés público de protegerlos, y además, en caso de conflicto o vulnerabilidad de dichos datos, un Estado tampoco puede garantizar que se suspenda efectivamente dicha transferencia de datos.
Esta sentencia provocó una gran confusión, surgieron noticias de todo tipo, desde la supuesta prohibición de uso de redes sociales y servicios de correo en nuestro país, hasta un sinfín de mecanismos obligatorios (doble opt-in en formularios infinitos semi-legales para obtener permisos fehacientes)…
En España, surge al paso la AGPD (Agencia Española de Protección de Datos) para comentar la jugada (3). Confirma la anulación de Safe Harbor y notifica una planificación de actuaciones, con limitación del día 29 de enero de este año, dirigidas a las entidades que gestionan datos en EEUU. Dicho de otro modo: todas las plataformas de gestión de e-mail marketing, transferencia de datos vía nube, CRM, ERP y etc… tienen que realizar una serie de gestiones obligatorias y cumplir ciertos requisitos, para volver a ser miembros del «club del puerto seguro».
A la espera de que todo se resuelva con las firmas mencionadas al inicio del post, a quienes nos pueda preocupar la cancelación de este marco legal nos queda la opción de buscar alternativas que nos ofrezcan idéntico servicio dentro de la CE, con servidores ubicados en territorio europeo y sin transferencia a EEUU.
«Bravo, Schrems!», le dijo en su día Edward Snowden (4).
(1) AGPD: Acuerdo de Safe Harbor. Ver acuerdo.
(2) TJUE: Anulación de Safe Harbor. Leer sentencia.
(3) AEPD: El TJUE declara inválida la Decisión de la Comisión… (Puerto Seguro). Leer nota de prensa.
(4) @Snowden. Ver tweet.
