Al día de hoy, muchas empresas recurren a diversas soluciones en la nube para el almacenamiento y tratamiento de datos; así como también para el trabajo colaborativo en remoto y llevar a cabo campañas de email marketing o enviar newsletters. Sin embargo, compartir datos en Google Drive, Dropbox y otros recursos similares supone tomar medidas para cumplir el Reglamento General de Protección de Datos europeo.
Sigue leyendo para conocer las implicaciones legales de emplear estas herramientas cloud para el tratamiento de datos de tus clientes sin infringir la normativa.
¿Qué hace tan complejo compartir datos en Google Drive y otras herramientas?
En efecto, Google, Microsoft, Dropbox y los servicios de envío de correos electrónicos como Mailchimp tienen su sede en Estados Unidos. Por esta razón, cargar o aportar datos personales a las nubes de dichas empresas constituye, desde la perspectiva del RGPD, una transferencia internacional de datos. Esto implica cumplir con una serie de exigencias, sobre todo en lo que respecta a la seguridad de la información. Todo ello, conforme a lo dispuesto en el Capítulo V, artículos del 44 al 50 del mencionado Reglamento.
Para entender el vínculo de estas operaciones con la normativa de protección de datos europea, debes recordar que:
- Tu empresa o institución figura en la página web, ecommerce u otros canales como “responsable del tratamiento de datos personales”.
- Al contratar con empresas como Google, Dropbox, etc., estas pasan a ser “encargados del tratamiento”. El cumplimiento de esta función debe estar acorde a lo previsto en el artículo 28.
- Como dijimos, compartir datos en Google Drive u otras plataformas cloud cuyos servidores estén en EE.UU. implicaría una transferencia de datos personales a terceros países. Es decir, a países no pertenecientes a la Unión Europea.
El RGPD no menciona el cloud computing, pero sí fija condiciones
Pero el asunto se complica al comprobar que ni el RGPD ni la normativa española (LOPD-GDD) hacen referencia directa a las plataformas de cloud computing. En concreto, las utilizadas para almacenamiento masivo de datos, trabajo colaborativo o envíos de emails. No obstante, sí puntualiza que el responsable del tratamiento seleccionará un encargado del tratamiento que ofrezca garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiada, de modo que el tratamiento cumpla con los requisitos del Reglamento y garantice la protección de los derechos del usuario (Artículo 28. 1).
Más aún, la transferencia de datos personales a un tercer país puede realizarse sin necesidad de autorización si el mismo o la organización internacional involucrada “garantizan un nivel de seguridad adecuado” (Artículo 45.1).
La sentencia Schrems II dificulta compartir datos en Google Drive y otras plataformas
Entre 2016 y 2020, estuvo vigente un marco legal que regulaba las relaciones entre Estados Unidos y la UE en materia de protección de datos. Esta normativa conocida como Privacy Shield o Escudo de Privacidad quedó invalidada tras la famosa sentencia Schrems II del Tribunal de Justicia de la UE.
El fallo favoreció a Maximillian Schrems en su demanda a Facebook Irlanda por transferir sus datos a la matriz norteamericana de la red social. En paralelo, la instancia judicial consideró que los EE.UU. no proporcionan las garantías ni la protección exigidas en el Artículo 52 de la Carta de Derechos Fundamentales de la UE. En concreto, por los procedimientos de vigilancia que realiza el Gobierno estadounidense, basados en el USA Patriot Act de 2001.
Además, según el fallo, las Cláusulas Contractuales Tipo, solución prevista por el RGPD para la transferencia internacional de datos, no son vinculantes para terceros países. Es pertinente reiterar que, respecto a los Estados miembros de la UE, Estados Unidos es un tercer país.
Soluciones para compartir datos en Google Drive y otros servicios estadounidenses legalmente
Teniendo en cuenta las anteriores limitaciones, es importante señalar que existen una serie de opciones para compartir datos en plataformas cloud norteamericanas. Todas ellas permiten realizar la transferencia de datos personales dentro de lo establecido en el RGPD.
Consentimiento explícito del usuario
El artículo 49 del referido Reglamento establece varias condiciones para realizar transferencias de datos personales a terceros países u organizaciones internacionales. En particular, cuando no existan: una decisión de adecuación, garantías adecuadas o normas corporativas vinculantes aprobadas por la autoridad de control. La primera de ellas es el consentimiento explícito del interesado después de haber sido informado de los posibles riesgos que suponen para él dichas transferencias por la ausencia de las condiciones ya enumeradas.
Aun así solo podrán efectuarse las transferencias si las mismas no son repetitivas o afectan solo a un número limitado de interesados. Igualmente, si son necesarias a los fines de intereses legítimos imperiosos del responsable del tratamiento y no prevalezcan los derechos y libertades del usuario. En este caso, el responsable del tratamiento debe evaluar todas las circunstancias concurrentes en la transferencia de datos. Y, fundamentado en dicha valoración, ofrecerá garantías apropiadas a la protección de datos personales. Aparte de lo anterior, el responsable informará por igual a la autoridad de control y al interesado sobre los motivos para hacer la mencionada operación.
Presencia de servidores y oficinas de la plataforma en la UE
Hablamos de una opción factible, porque ya tenemos el ejemplo de Amazon Web Services. Esta plataforma aun siendo estadounidense, tiene sedes y servidores en varios Estados miembros de la UE: Francia, Alemania, Irlanda, Italia y Suecia. Asimismo contará con esta infraestructura en España a partir del 2022. Por tal razón, sus operaciones en este ámbito deben acogerse al RGPD. Incluso, 52 de sus servicios cumplen las exigencias del Código de Conducta de CISPE para la protección de datos. CISPE (Cloud Infrastructure Services Providers in Europe) es un grupo de líderes en el sector de la computación en la nube que apoya a millones de clientes europeos. Dicho código es el primer documento paneuropeo en su tipo enfocado en los proveedores de servicios de infraestructura en la nube. Por si fuera poco, el Código CISPE fue aprobado por el Comité Europeo de Protección de Datos (CEPD).
Anonimización de datos
Otra opción válida para compartir datos en Google Drive y otras plataformas similares es la anonimización de los datos. De esta manera, no se aportan datos personales, sino un seudónimo, número o código que no refiera a personas identificables. Con esto, no es necesario seguir las normas del RGDP. Sin embargo, el responsable debe demostrar que no está en condiciones de identificar al interesado y se lo hará saber, si es posible (Artículo 11.2).
Continuidad sujeta a consentimiento
En conclusión, si tu compañía requiere continuar empleando servicios cloud de proveedores estadounidenses, es indispensable que cuentes con el consentimiento expreso de los usuarios. Por igual, debes estar pendiente de los pronunciamientos que el CEPD y la CE hagan sobre esta materia. Claro está, también debes estar al tanto de las medidas que lleve a cabo el proveedor, evaluando cuidadosamente su política. En función de ello, la asesoría de un Delegado de Protección de Datos es clave para realizar las auditorías periódicas correspondientes. Estos procedimientos permiten detectar cambios eventuales y realizar los consecuentes análisis de impacto legal derivados de tales novedades.
¿Necesitas compartir datos en Google Drive u otros servicios cloud? ¡Nosotros te asesoramos!
En Legal Veritas, te ofrecemos asesoría legal profesional y los servicios necesarios para adaptar tu página web o ecommerce a la normativa vigente de protección de datos. Si debes compartir datos en Google Drive u otra plataforma cloud de Estados Unidos, nuestros consultores te brindarán el apoyo que requieres.
De la misma manera, entre nuestros servicios está la asignación de un Delegado de Protección de Datos debidamente cualificado. Su misión, prevista en el RGPD, es asesorar a tu empresa como responsable del tratamiento de datos y garantizar el cumplimiento de la normativa. Esto incluye el asesoramiento respectivo para las evaluaciones de impacto en la protección de datos. Consúltanos ahora y descubre las ventajas de compartir datos en Google Drive y otras plataformas con todas las seguridades.
Deja una respuesta