🇪🇺🔐🇺🇸 TJUE: "Las empresas americanas no tratan los datos personales con las debidas garantías"

22/07/2020

Si Google Drive es tu cajón de sastre, informas sobre tus novedades con MailChimp, gestionas tus leads con Zoho, haces conferencias con Zoom o solicitas datos con Forms, es momento de revisar tu protección de datos.

Los gigantes digitales (la mayoría estadounidenses) y sus soluciones tecnológicas han entrado con fuerza en nuestra vida los últimos años y se han fortalecido aún más con la actual situación de pandemia.

La gran mayoría de empresas y autónomos, encuentran en este tipo de aplicaciones, una herramienta sencilla, asequible o gratuita, con la que poder gestionar su actividad, incrementar su productividad y llegar a un mayor público.

Hasta ahora se recomendaba disponer de cierto vínculo con los proveedores de EEUU, más allá de sus condiciones generales, para tener un segundo documento que acredite que las transferencias de datos se realizan con las debidas garantías. Los llamados DPA (Data Privacy Agreement o Data Privacy Addendum), una recopilación de cláusulas adicionales, enfocadas a la privacidad y a la realización de tratamientos de datos de acuerdo con el Reglamento Europeo.

Ahora bien, antes del 17 de julio se trataba de algo recomendable pero no obligatorio (si la entidad que ofrecía el servicio constaba inscrita en el listado del Privacy Shield). Actualmente resulta indispensable.

Y eso por qué?

Al no disponer de ningún "escudo de protección" la transmisión de datos que realizamos tiene una base legal "cogida con pinzas". A su vez, muy probablemente, muchas de estas empresas informaran y se acogerán en que sus tratamientos de datos se realizarán siguiendo las cláusulas contractuales tipo aprobadas por la Comisión Europea. Se trata de una base jurídica aceptada por el RGPD embargo, estas datan de 2010 y están un tanto obsoletas, pues dejan en el tintero gran parte de las novedades que se incluyeron en el Reglamento Europeo de Protección de Datos en 2016.

Qué debes tener en cuenta?

Recomendaciones:

  • Revisar la sede fiscal de los proveedores de las aplicaciones donde introduces datos de tus clientes, proveedores o potenciales clientes que te hayan dado su consentimiento.
  • Si su sede es en EEUU, ver qué pronunciamiento han tenido respecto a la invalidación del Privacy Shield.
  • Si no se pronuncian, contactar con el departamento legal del proveedor y requerirle un DPA (Data Privacy Addendum).
  • Si no se brindan soluciones, buscar alternativas en programas de proveedores europeos (que tengan su sede en territorio europeo).

Recuerde que realizar transferencias internacionales sin las debidas garantías supone una vulneración muy grave de la normativa de protección de datos y existe el riesgo de una sanción elevada, como en el caso de la asociación de técnicos informáticos (45.000 euros).