Ampliación de la moratoria, ¿cuándo se debe pedir concurso de acreedores?
22 marzo, 2021
El nuevo reglamento europeo de drones en 15 preguntas
5 abril, 2021Uso de Google Drive, Dropbox, Mailchimp… riesgos en la transferencia internacional de datos
Son cada vez más las empresas, pymes y autónomos que utilizan en su actividad diaria herramientas como Dropbox, Google Drive o We Transfer para enviar imágenes o carpetas de documentos pesados. Y lo mismo ocurre con aplicaciones para diseñar boletines informativos o para enviar campañas de email marketing, como Mailchimp. Son populares porque son fáciles de utilizar y ofrecen soluciones ágiles y sencillas para problemas cotidianos. Pero el uso de estos medios de almacenamiento digital y de difusión masiva de correos electrónicos, que están radicados en Estados Unidos, conlleva una serie de implicaciones y riesgos legales en materia de protección de datos que muchas entidades desconocen. Y es que, en realidad, se está realizando una transferencia internacional de datos personales.
- La regulación de las acciones colectivas en España: una reforma pendiente
- Despido disciplinario por ver un partido del Mundial de Fútbol
- Aceptar o repudiar una herencia
- La persona en el centro: claves del discurso de León XIV ante el Congreso de los Diputados
- La figura del becario en España: claves legales para evitar falsos «becarios»
Resulta fundamental, tal como señala el abogado Alejandro Álvarez Serrano, del área de Tecnología y Telecomunicaciones de nuestro bufete, tener tres conceptos claros:
- La empresa u organización (fundación u ONG) que utiliza estas herramientas tiene el rol de “responsable de tratamiento” de los datos personales.
- Cada vez que “sube” información de terceros a estas plataformas estaría realizando una transferencia internacional de datos, tal como lo define el Reglamento General de Protección de Datos (RGPD).
- Las empresas como Google Drive, Microsoft One Drive o Dropbox, a las que se suben dichos datos, tendrán el rol de “encargados de tratamiento” de dichos datos personales.
Pero, ¿qué dice el RGPD o la normativa española específicamente sobre el uso de estas plataformas? «El RGPD o la normativa española no indican nada específico sobre el almacenamiento en la nube, ni sobre plataformas de email marketing ni de trabajo digital colaborativo. Pero sí aclara que el responsable de tratamiento solo elegirá un encargado del tratamiento de datos personales que ofrezca garantías suficientes en materia de protección de datos; es decir, el responsable debe confirmar que el encargado es originario de un país donde se garanticen niveles de protección de datos similares o superiores a los de la Unión Europea (UE). Y se sobreentiendo que, de su falta de diligencia, se derivarán responsabilidades«, aclara el abogado Alejandro Álvarez.
El fin del Escudo de Privacidad y las CCT
Este tipo de situaciones habían quedado solucionadas con los que se conoce como Escudo de Privacidad, un marco normativo que regía las relaciones entre la Unión Europea y los Estados Unidos. Pero desde que se publicó la Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, también denominada Scheme II, este “Escudo” quedó invalidado.
¿Qué solución prevé el RGPD para una transferencia internacional de datos entre distintas entidades? Que se puedan pactar CCT o Cláusulas Contractuales Tipo –SCC, las siglas en inglés de Standard Contractual Clauses.
Sin embargo, la citada sentencia también alude a las CCT y dice que aunque estas cláusulas sean aplicables al exportador y al importador de los datos, no son vinculantes para un tercer país (en este caso, para Estados Unidos). Y también señala que no hay garantías ni protección equivalentes al art. 52 de la Carta de los Derechos Fundamentales de la Unión Europea en caso de cualquier injerencia de programas de vigilancia, como las que puede realizar el Gobierno estadounidense en virtud de la USA Patriot Act de 2001.
Por otra parte, el Tribunal de Justicia de la Unión Europea considera que la comunicación de datos personales a un tercero, como una autoridad pública, supone una injerencia en los derechos fundamentales que protegen los artículos 7 y 8 de la Carta, sea cual sea la utilización posterior de la información comunicada. Y, por último, indica que en Estados Unidos no hay un órgano equivalente a los existentes en la UE que permita a las personas recurrir y contar con garantías sobre sus datos personales transferidos a ese país.
Además, reforzando esta idea, el EDPB (Comité Europeo de Protección de Datos o, en inglés, European Data Protection Board) también se ha pronunciado sobre la situación legal de Estados Unidos en materia de privacidad: “el Derecho estadounidense (…) no garantiza un nivel de protección sustancialmente equivalente” de la normativa europea de protección de datos.
¿Que se puede concluir de todo ello? «Teniendo en cuenta todos estos antecedentes, podemos afirmar que si un proveedor estadounidense de este tipo de servicios cuenta con unas Cláusulas Contractuales Tipo, esto no supone que ofrezca la seguridad suficiente de estar contratando a un encargado de tratamiento que cumpla con todas las garantías que exige el Reglamento General de Protección de Datos«, explica el abogado de nuestra área de Tecnología y Telecomunicaciones.
El consentimiento del usuario
¿Qué ocurriría si el titular de los derechos da su consentimiento para dicha transferencia internacional? El RGPD considera que solo sería suficiente si lo ha hecho de forma explícita y tras haber sido informado de los posibles riesgos que entraña la inexistencia de garantías adecuadas.
Además, la transferencia solo se podrá llevar a cabo si no es repetitiva; si afecta a un número limitado de interesados; si es necesaria a los fines de intereses legítimos imperiosos del responsable del tratamiento, pero solo si no prevalecen los intereses o derechos y libertades del interesado; si el responsable del tratamiento evaluó correctamente todas las circunstancias relacionadas con la transferencia y ofreció garantías apropiadas para la protección de datos.
Por otra parte, el responsable del tratamiento está obligado a informar tanto a la autoridad de control como al interesado de los intereses legítimos que le mueven a realizar dicha transferencia internacional.
Transferencia internacional de datos y alternativas
Dentro de las empresas que prestan estos servicios, podemos decir que Microsoft se convirtió en el primer proveedor cloud en trabajar con las autoridades europeas de protección de datos para la aprobación de las cláusulas modelo europeas, fue pionera también en adoptar nuevos estándares técnicos para la privacidad en la nube, y firmes defensores del GDPR desde su primera propuesta en el año 2012.
Otras herramientas y soluciones cloud aún no se han adecuado a la Normativa Europea, a pesar de que en sus páginas web traten sobre dicha adecuación. Por ejemplo, Google y Dropbox -entre otras- no hacen referencia a la realidad vigente tras la STJUE 16/7/2020 en sus términos y condiciones sobre transferencia internacional, y la impresión que ofrecen es que siguen sin adecuarse.
Una alternativa real a la transferencia internacional de datos consiste en que el prestador de servicios, aunque sea de origen estadounidense, tenga ubicados los servidores, la sede, etc. en territorio de la Unión Europea, por lo que tendría que cumplir la legislación europea.
Por otra parte, la anonimización de los datos puede ser también una alternativa. Con ello, no se aportan datos personales –y ya no se estaría sujeto a las normas del RGPD-. Por ejemplo, se daría si solo se aportan números que no tengan referencia con personas identificables (puede consultarse en este sentido la Guía publicada por la Agencia Española de Protección de Datos (AEPD) en 2016, y revisada en 2019, sobre la anonimización de datos personales).
Si la empresa u organización quiere seguir utilizando este tipo de servicios de prestadores de Estados Unidos, será imprescindible contar con el consentimiento informado y expreso de los interesados, estar al corriente de las comunicaciones que haga sobre esta materia la UE y también de las medidas que vaya adoptando el proveedor, estudiando pormenorizadamente su política. En estos casos concretos, será imprescindible que el Delegado de Protección de Datos o el bufete que asesore a la entidad en materia de privacidad lleve a cabo auditorías periódicas para detectar posibles cambios y analizar el impacto legal de los mismos.
Ayudamos a tu empresa a cumplir con el RGPD
En el Bufete Mas y Calvet contamos con un equipo de abogados especializados en el cumplimiento de la normativa de protección de datos. Contamos con los conocimientos y la experiencia para ayudar a tu empresa en su proceso de digitalización y en el uso de las tecnologías, para que desarrolles tu actividad con seguridad jurídica. Somos el primer bufete de abogados en ofrecer la certificación europea de protección de datos Europrivacy. Si quieres que te asesoremos de forma personalizada, contacta con nuestro equipo de abogados.