Seleccionar página

El Escudo de Privacidad
ha pasado a la historia

7 preguntas que debiría hacer ahora

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea anuló el Escudo de Privacidad entre la UE y los EE. UU. El motivo es que los ciudadanos* y las empresas de la UE no están suficientemente protegidos contra el acceso a los datos por parte de las autoridades estadounidenses.

Altas sanciones
en caso de infracciones

Además, hay que tener en cuenta los riesgos derivados de la CLOUD Act (Clarifying Lawful Overseas Use of Date): esta ley permite a las autoridades estadounidenses acceder a datos de empresas estadounidenses y sus sucursales, incluso si estos se almacenan o se procesan fuera de los EE. UU.

Como director de IT, es usted directamente responsable de los datos de sus clientes, empleados y socios, incluso si subcontrata el procesamiento de datos. Las sanciones por infracciones ascienden hasta 20 millones de euros o al 4% de sus ingresos a nivel mundial, una dimensión totalmente nueva. Las autoridades, además, pueden detener la transferencia ilegal de datos. Los directores de IT pueden ser considerados personalmente responsables y los seguros de responsabilidad civil para administradores y directivos tienen límites de aplicación.

¿Qué medidas debería tomar? No existe aún ninguna recomendación definitiva por parte del CEPD (Comité Europeo de Protección de Datos) o de la Comisión Europea. Por este motivo, nos gustaría facilitarle esta guía con la información más relevante. Aquí están las 7 preguntas que debería hacer:

Los números de fax
y las direcciones de
email
son datos personales

1) ¿Cómo transfiere actualmente los datos personales?

Los datos personales son cualquier información relacionada con una persona física identificada o identificable: nombre, ubicación, identificadores online (p. ej. direcciones de IP) así como datos sobre la identidad física, psicológica, económica o social (se incluyen también números de fax y direcciones de correo electrónico). La transferencia de datos personales tiene lugar, por ejemplo, en la correspondencia por correo electrónico, fax o SMS.

También debe aclarar: ¿Qué datos posee o almacena? ¿Dónde los almacena? ¿Quién procesa los datos y dónde los transfiere? Y lo que es más importante: ¿Dispone de la base legal para ello?

¡Precaución en las áreas de
seguridad y archivo
de emails!

2) ¿Utiliza servicios de IT de empresas estadounidenses?

Entre los posibles candidatos se encuentran Google, Facebook, Twilio, Zoom, Slack, Proofpoint, Dropbox, Microsoft y LinkedIn. En caso afirmativo, debería comprobar si realiza la exportación de datos conforme a los requisitos del RGPD, por ejemplo, en el ámbito de la seguridad y el archivado del correo electrónico.

No hay periodo
de gracia

3) ¿Trabaja con empresas que operaban hasta ahora bajo el Escudo de Privacidad?

En la página web del Privacy Shield Framework encontrará una lista de todas estas compañías.

El Escudo de Privacidad ha dejado de ser válido y no se ha concedido periodo de gracia. En caso afirmativo, debería clarificar de inmediato si las empresas cumplen los requisitos del RGPD. En caso de duda, solicite la expedición de un certificado que confirme que en ningún momento se transferirán datos a los EE. UU. o a proveedores de servicios en los EE. UU. durante el tratamiento.

No existe protección
equivalente
con respecto
a los SCC y los BCR

4) ¿Puede sustituirse el Escudo de Privacidad por SCC o BCR?

Según el comunicado del CEPD del 24 de julio de 2020, la legislación estadounidense no garantiza una protección equivalente con respecto a las SCC (cláusulas contractuales tipo) y las BCR (normas corporativas vinculantes). Esta evaluación también se aplica a los acuerdos correspondientes con países como China o Rusia.

El acuerdo individual de las SCC y las BCR con cada proveedor estadounidense requiere un gran esfuerzo administrativo y legal. Aunque se requieran medidas adicionales, en noviembre de 2020, el CEPD sólo ha emitido recomendaciones preliminares para su aplicación (actualmente sólo están disponibles en inglés). Los riesgos intrínsecos de la CLOUD Act persisten en lo que respecta a la implementación de las SCC y las BCR.

Grandes obstáculos
en caso de consentimientos individuales

5) ¿Puede seguir transfiriendo datos a los EE. UU. de conformidad con las normas especiales del art. 49 del RGPD?

En principio, sí, mientras se cumplan las condiciones correspondientes. Sin embargo, se encontrará con obstáculos: el consentimiento individual debe darse de forma expresa, específica e informada.

Art. 49 del RGPD

Revisióndel
nivel de protección
de los datos

6) ¿Dónde puede encontrar información adicional?

Retarus garantiza el procesamiento
de datosintraeuropeo

7) ¿Qué hacer si está en búsqueda de una solución para su comunicación corporativa de conformidad con el RGPD?

Cámbiese ahora y reduzca al mínimo los riesgos para la privacidad con los servicios innovadores de la plataforma de Retarus. Procesamos todos los datos de nuestros clientes europeos exclusivamente en centros de datos europeos, en Frankfurt, Múnich y Zúrich y garantizamos el procesamiento intraeuropeo incluso durante un failover o las tareas de mantenimiento. Retarus no utiliza ninguna infraestructura de hiperescala estadounidense como Google, AWS o Azure. Retarus, con sede principal en Alemania, ha sido gestionada por sus propietarios desde su fundación, sin la participación de empresas extranjeras.

Si fuera preciso, puede cambiarse a Retarus Enterprise Cloud con su tráfico de correo electrónico, SMS y fax en un plazo de tan solo 24 horas. Obtenga una rápida visión general de nuestros servicios y descubra cómo le apoyamos en la aplicación de los requisitos de cumplimiento.

Conclusión

La situación actual en materia de protección de datos parece compleja y engañosa. Sin embargo, no debemos olvidar que también conlleva ventajas importantes, ya que así protegerá mejor su información comercial sensible. Después de todo, el RGPD es de vital importancia.

Questions? Contact us!

Le recordamos que este sitio sirve únicamente para fines informativos no vinculantes y no constituye asesoramiento legal en el sentido estricto de la palabra. Este sitio no puede ni debe sustituir un asesoramiento individual y vinculante que aborde su situación específica. A este respecto, la información proporcionada no tiene garantía de exactitud e integridad.

* Por razones de legibilidad, en el presente texto se utiliza solo la forma masculina, aunque se refiera a personas de cualquier género.