🇪🇺🔐🇺🇸 TJ Unió Europea: "Les empreses americanes no tracten les dades amb les degudes garanties"

22/07/2020

Si Google Drive és el teu calaix de sastre, fas arribar les teves novetats amb mailchimp, gestiones els teus leads amb Zoho, fas conferències amb Zoom o reculls dades amb Forms, és moment de revisar la teva protecció de dades.

Els gegants digitals (la majoria americans) i les seves solucions tecnològiques han entrat amb força a la nostra vida els darrers anys i, s’han enfortit encara més amb l’actual situació de pandèmia.

La gran majoria d’empreses i autònoms, troben en aquest tipus d’aplicacions, una eina senzilla, assequible o gratuïta, amb la qual poder gestionar la seva activitat, incrementar la seva productivitat i arribar a un públic més ampli.

Fins ara es recomanava disposar de cert vincle amb els proveïdors d’EEUU, més enllà de les seves condicions generals, per tal de tenir un segon document que acredités que les transferències de dades estaven cobertes. Els anomenats DPA (Data Privacy Agreement), un recull de clàusules addicionals, enfocades a la privacitat i a la realització de tractaments de dades d’acord amb el Reglament Europeu.

Ara bé, abans del 17 de juliol es tractava de quelcom recomanable però més aviat opcional (si l’entitat que oferia el servei constava inscrita al llistat del Privacy Shield). Actualment resulta indispensable. Al no disposar de cap “escut de protecció” la transmissió de dades que realitzem, té una base legal “agafada amb pinces”.

I això per què?

Això és degut a que molt probablement, moltes d’aquestes empreses disposaran que els seus tractaments de dades es realitzaran seguint les clàusules contractuals tipus. Es tracta d'una base jurídica acceptada per l'RGPD però, aquestes daten de 2010 i estan obsoletes.

Qu'e s'ha de tenir en compte?

Recomanacions:

  • Revisar la seu fiscal dels proveïdors de les aplicacions on introdueixes dades dels teus clients, proveïdors o potencials clients que t’hagin donat el consentiment.
  • Si la seva seu és a EEUU, veure quin pronunciament han fet darrerament en relació a l’invalidació del Privacy Shield.
  • Si no es pronuncien, contactar amb el departament legal del proveïdor i requerir-li un DPA (data privacy addendum).
  • Si no es brinden solucions, cercar alternatives en programes de gestió els quals tinguin la seva seu a territori europeu.

Recordeu que realitzar transferències internacionals sense les degudes garanties suposa una vulneració molt greu de la normativa de protecció de dades i existeix el risc d’una sanció elevada, com en el cas de l’associació de tècnics informàtics (45.000 euros).