Parece ya bastante probable Ya se ha confirmado (2/02/2016) la disolución o invalidación del llamado Safe Harbor, acuerdo entre la Unión Europea y los Estados Unidos de America que permitía la comunicación y almacenamiento de datos de carácter personalen servidores alojados en EE.UU. de empresas adscritas a dicho acuerdo. (ACTUALIZACIÓN: Desde el 2/2/2016 se está trabajando en un nuevo acuerdo, presuntamente llamado Privacy Shield, del cual aún se desconocen los términos exactos).
Esta disolución afectará de forma más sonada en grandes servicios como los de Facebook, Google o Mailchimp, y también tendrá un impacto en muchísimas empresas pequeñas y medianas, que tendrán que adaptarse para cumplir con la normativa y evitar multas.
Si utilizas una plataforma de e-Learning como Moodle o Chamilo es posible que en unos días estés también expuesto a estas sanciones, debido al incumplimiento de la normativa europea en materia de protección de datos. Veamos en qué consiste esto del Safe Harbor y cómo podemos evitar problemas en nuestros proyectos de formación.
¿Qué es SAFE HARBOR y cómo afecta su disolución en la formación online?
Como he apuntado al principio del post, Safe Harbor es el nombre de un acuerdo que se estableció entre Europa y una serie de empresas tecnológicas de EE.UU. con el fin de facilitar el trasvase de datos personales entre ambos, siempre y cuando éstas cumplieran la ley europea en materia de protección de datos personales.
Este acuerdo ha beneficiado a una gran cantidad de empresas españolas en muchísimos sectores, desde el márketing hasta la formación, ya que, en muchas ocasiones, la relación calidad-precio de los servidores donde alojar sitios web o plataformas de teleformación en EE.UU es considerablemente mejor que en Europa.
El pasado 6 de octubre de 2015 Safe Harbor fue invalidado por el Tribunal de Justicia de la Unión Europea, como consecuencia de las acusaciones por el espionaje de la NSA vertidas por Edward Snowden. Se esperaba un acuerdo alternativo para evitar perjuicios económicos, pero diversas fuentes vaticinan que no se llevará a cabo, obligando a realizar cambios en los servicios que pudieramos tener contratados y que quedan afectados por la localización del almacenamiento de datos personales.
Protección de datos y e-Learning
La ley de protección de datos nos afecta también en el ámbito de la formación en modalidad e-Learning, pues todos nuestros alumnos están registrados en la plataforma online.
Dada la situación de incertidumbre sería recomendable asegurarse de nuestros proyectos de formación cumnplen con la normativa europea en materia de protección de datos.
En el caso de enfrentarnos a un nuevo proyecto hay que asegurarse de que la empresa que hospede el LMS tenga sus servidores físicamente ubicados en la unión europea y conforme a la normativa. Sobre todo, si queremos acreditar nuestra plataforma de teleformación ante el SEPE o la Comunidad Autónoma correspondiente yo no me la jugaría, pues lo barato podría resultar caro.
Y si tenemos un proyecto ya en marcha, conviene ir comprobando en qué condiciones está, para evitar problemas en un futuro próximo:
Puede darse, por ejemplo, la situación en la que utilizamos los servicios de un proveedor de LMS que es el que se ocupa de contratar el servidor donde se alojarán nuestros datos (p.ej. un Moodle Partner). En este caso, podemos asegurarnos de la ubicación de nuestra plataforma utilizando cualquier herramienta de localización como por ejemplo son GEOIPTOOLS o IPTRACKER.
Soluciones a la invalidación de Safe Harbor
En el caso de que nuestra plataforma de e-Learning se encuentre en EE.UU. y de no cumplir los requisitos del nuevo acuerdo que se está forjando y de confirmarse que no hay ningún nuevo acuerdo (como parece ser que va a ocurrir), las alternativas son más bien pocas:
Solicitar una autorización a la directora de la Agencia Española de Protección de Datos
Parece bastante inviable, pues requiere al menos 3 meses de gestión en el que hay que remitir contrato con traducción jurada entre tu empresa y la que hospeda el servidor en los EE.UU.
Acogerse a alguna de las excepciones del artículo 34 de la LOPD
Para ello, todos tus alumnos tendrían que autorizar expresamente que están dispuestos a que sus datos sean transferidos internacionalmente a un país no seguro, indicando el país de destino y la finalidad con la que dicha transferencia se realiza.
Trasladar nuestra plataforma de e-Learning a otro servidor
Esta va a ser la solución más viable si tu servidor está en los EE.UU. y en unos días no hay un nuevo acuerdo de Safe Harbor.
En caso de trabajar con un partner o proveedor de plataforma online la pelota está en su tejado, y debes exigirle que te certifique la adecuación de su infrestructura a la normativa.
Si la instalación y administración la lleva directamente tu empresa, tendrás que evaluar las posibilidades que tienes para realizar una migración a un servidor europeo.
