馃嚜馃嚭馃攼馃嚭馃嚫 TJUE: "Las empresas americanas no tratan los datos personales con las debidas garant铆as"

22/07/2020

Si Google Drive es tu caj贸n de sastre, informas sobre tus novedades con MailChimp, gestionas tus leads con Zoho, haces conferencias con Zoom o solicitas datos con Forms, es momento de revisar tu protecci贸n de datos.

Los gigantes digitales (la mayor铆a estadounidenses) y sus soluciones tecnol贸gicas han entrado con fuerza en nuestra vida los 煤ltimos a帽os y se han fortalecido a煤n m谩s con la actual situaci贸n de pandemia.

La gran mayor铆a de empresas y aut贸nomos, encuentran en este tipo de aplicaciones, una herramienta sencilla, asequible o gratuita, con la que poder gestionar su actividad, incrementar su productividad y llegar a un mayor p煤blico.

Hasta ahora se recomendaba disponer de cierto v铆nculo con los proveedores de EEUU, m谩s all谩 de sus condiciones generales, para tener un segundo documento que acredite que las transferencias de datos se realizan con las debidas garant铆as. Los llamados DPA (Data Privacy Agreement o Data Privacy Addendum), una recopilaci贸n de cl谩usulas adicionales, enfocadas a la privacidad y a la realizaci贸n de tratamientos de datos de acuerdo con el Reglamento Europeo.

Ahora bien, antes del 17 de julio se trataba de algo recomendable pero no obligatorio (si la entidad que ofrec铆a el servicio constaba inscrita en el listado del Privacy Shield). Actualmente resulta indispensable.

Y eso por qu茅?

Al no disponer de ning煤n "escudo de protecci贸n" la transmisi贸n de datos que realizamos tiene una base legal "cogida con pinzas". A su vez, muy probablemente, muchas de estas empresas informaran y se acoger谩n en que sus tratamientos de datos se realizar谩n siguiendo las cl谩usulas contractuales tipo aprobadas por la Comisi贸n Europea. Se trata de una base jur铆dica aceptada por el RGPD embargo, estas datan de 2010 y est谩n un tanto obsoletas, pues dejan en el tintero gran parte de las novedades que se incluyeron en el Reglamento Europeo de Protecci贸n de Datos en 2016.

Qu茅 debes tener en cuenta?

Recomendaciones:

  • Revisar la sede fiscal de los proveedores de las aplicaciones donde introduces datos de tus clientes, proveedores o potenciales clientes que te hayan dado su consentimiento.
  • Si su sede es en EEUU, ver qu茅 pronunciamiento han tenido respecto a la invalidaci贸n del Privacy Shield.
  • Si no se pronuncian, contactar con el departamento legal del proveedor y requerirle un DPA (Data Privacy Addendum).
  • Si no se brindan soluciones, buscar alternativas en programas de proveedores europeos (que tengan su sede en territorio europeo).

Recuerde que realizar transferencias internacionales sin las debidas garant铆as supone una vulneraci贸n muy grave de la normativa de protecci贸n de datos y existe el riesgo de una sanci贸n elevada, como en el caso de la asociaci贸n de t茅cnicos inform谩ticos (45.000 euros).