(N.d.E. Aunque en el pasado hemos hablado de puerto seguro en esta entrada y esta otra a propósito de Google, ya hace mucho tiempo de eso (2009), y no viene mal recordar qué es, sus pegas y en este caso en particular, su comparación no tan lejana con algunos aspectos de la LOPD)
Como muchos sabréis, el acuerdo de “puerto seguro”, o safe harbour, es un acuerdo al que se adhieren las organizaciones estadounidenses para poder ser receptoras de transferencias internacionales de datos de carácter personal procedentes de la Unión Europea.
Este acuerdo se firmó para dar salida a la restricción que imponen, entre otras, tanto nuestra Ley Orgánica de Protección de Datos como la Directiva Europea de Protección de Datos, referente a que no se pueden hacer transferencias internacionales de datos de carácter personal salvo que se considere que el destinatario es confiable, de forma que si el destinatario está adherido a este acuerdo se considera que cumple con los principios de privacidad necesarios.
Pues bien, desde su puesta en marcha el sistema ha recibido multitud de críticas en cuanto a lo sencillo que resulta obtener el certificado de Safe Harbour Compliant y las pocas garantías que éste ofrece: para obtenerlo basta con abonar las tasas correspondientes (anualmente) y hacer una declaración en la cual se compromete a cumplir con los siguientes 7 principios de privacidad (traducción libre):
1. Notificación – Los individuos deben ser informados de que sus datos están siendo recogidos y sobre la forma en que se utilizarán.
2. Decisión – Las personas deben tener la posibilidad de decidir acerca de la recogida y transferencia de los datos a terceros.
3. Transferencias sucesivas – Los datos solo pueden transferirse a otras organizaciones si éstas cumplen con principios de protección de datos adecuados.
4. Seguridad – Se deben hacer esfuerzos razonables para evitar la pérdida de la información recopilada.
5. Integridad de los datos – Los datos deben ser fiables y consecuentes con el propósito para el que fueron recopilados.
6. Acceso – Las personas deben ser capaces de acceder a la información y corregirla o eliminarla si no es exacta.
7. Cumplimiento – Se deberá disponer de medios efectivos para hacer valer estas reglas.
Por un lado, a nadie contenta que la verificación del cumplimiento la realicen las propias entidades sin que haya un control externo, lo cual sumado a la subjetividad y libre interpretación de los siete principios hace que el nivel de protección o acceso aplicado a la información pueda ser a nuestro parecer insuficiente. Por otro lado, no da ninguna tranquilidad que al consultar el listado de empresas que disponen del certificado oficial (ver enlace: https://safeharbor.export.gov/list.aspx), aparezca una nota en negrita donde se declina toda responsabilidad sobre la validez de los datos mostrados, ni sobre la veracidad de la aplicación de los principios de seguridad sobre la información.
Más de uno se puede echar las manos a la cabeza ante las pocas garantías que ofrece esta certificación pero no creo que sea demasiado alarmante: este certificado es un requisito para poder hacer transferencias internacionales de datos personales pero en ningún sitio dice que nos debamos contentar con ello.
¿Qué garantías nos ofrece una entidad española frente a una estadounidense? En teoría toda entidad española debe cumplir con la LOPD, que es claramente más restrictiva que el Safe Harbour Agreement, pero en la práctica todos sabemos que no todos cumplen con la LOPD. Ni siquiera tenemos la garantía de que por que una empresa tenga declarados los ficheros esté al día en materia de protección de datos (muchas veces les declaran los ficheros las gestorías que les llevan otros temas).
Así pues, ni una entidad española puede confiar en una estadounidense por tener el certificado de puerto seguro, ni una estadounidense puede confiar en una española presuponiendo que cumplirá con la LOPD: para asegurarse de que los datos se protegen adecuadamente siempre podremos exigir auditorías por parte de terceros, requerir certificaciones como ISO 27001, solicitar su política de seguridad o que sencillamente nos enseñen como tienen montado el chiringuito.
Si bien el acuerdo de puerto seguro puede parecer un trámite prescindible, creo que es una buena base sobre la que establecer unos requisitos de seguridad internacionales. Me gusta el enfoque de los 7 principios por la flexibilidad que ofrece a la hora de que cada uno implemente las medidas y controles como más útiles le sean, pero para evitar comportamientos fraudulentos también veo necesaria la figura de un tercero que verifique que se cumple de forma razonable con los requisitos de estos principios.
Por último indicar que no le encuentro sentido a que sea el Servicio de Comercio Exterior estadounidense quien gestione los certificados, siendo que no ofrecen ningún tipo de garantía de cumplimiento. En mi opinión podría hacerlo directamente la Unión Europea y abrir el alcance a entidades de todo el mundo.
Fuentes
Adrián, siento decir que no puedo estar más en desacuerdo en la comparación LOPD – Puerto Seguro.
Si bien es cierto que nadie tiene la seguridad de que la empresa X cumple la LOPD, en el caso de Puerto Seguro el tema es mucho peor; no sólo no existen mecanismos de control y sanción (aunque sólo sea retirada del certificado), lo que convierte a Puerto Seguro en papel mojado, sino que el seguimiento de los certificados es inexistente, no se detalla el alcance, no hay mecanismos similares a los de ARCO, etc. En mi opinión, no hay comparación posible.
Discrepo también del enfoque laxo de los 7 principios; la experiencia nos ha demostrado repetidas veces que a la hora de manejar datos de carácter personal, lo mejor no es precisamente dotar de libertad a las empresas que los manejan.
Puerto Seguro no es otra cosa que una excusa para permitir las relaciones comerciales entre entidades europeas y estadounidenses. Lo de los datos personales no tiene la menor importancia.
No mientas Manolo que sé que no sientes estar en desacuerdo ;)
-Según lo veo el homologo a los derechos ARCO deben quedar cumplidos según el principio 6º.
-Los mecanismos de la LOPD tampoco son la panacea ya que solo tienen el recurso de la denuncia (demasiado correctivo, no hay control preventivo por ningún sitio).
-Sobre la flexibilidad de los 7 principios, hay controles de la LOPD que según entornos son imposibles de aplicar llevando a parches para pasar el trámite, siendo que los responsables podrían optar por otras implantaciones de medidas de seguridad más eficaces y adaptadas a sus necesidades.
El acuerdo de puerto seguro no te garantiza nada, pero una LOPD mal hecha en una empresa que quiere pasar el trámite tampoco. Y tambien existe el caso contrario, una LOPD bien montada y con gente concienciada ofrece buenas garantías, igual que si una empresa decide cumplir de forma coherente y eficaz con los 7 principios del acuerdo.
Según lo veo no son tan diferentes.
Hola,
concretamente, ¿qué pasos hay que seguir para adherirse a Safe Harbor? Es decir, una empresa americana: ¿qué debe hacer exactamente para unirse a este tratado de puerto seguro?
Muchas gracias.
Estimado Mam,
toda la información de cómo adherirse al tratado está en esta URL: http://export.gov/safeharbor/eu/eg_main_018495.asp
Lamento no poder ofrecerte nada más concreto ni en castellano, pero en este caso lo mejor es acceder directamente a la URL indicada y empezar a leer todo lo que implica el tratado así como los entregables que deberás generar.
Si encontrases cualquier tipo de material interesante al respecto no dudes en compartirlo.
Un saludo.