¿Estoy cumpliendo con RGPD si utilizo Dropbox, Mailchimp o OneDrive?

Tras la entrada en vigor el pasado mes de mayo de 2018 del Reglamento General de Protección de datos, uno de los temas que más ha preocupado a nuestros clientes era si podían seguir utilizando servicios de terceros como Google, Dropbox, OneDrive, Mailchimp…

 

¿Quiénes deben garantizar un nivel adecuado de protección de datos?

 Hay que tener en cuenta que la utilización de estos servicios en numerosas ocasiones supone una transferencia internacional de datos, esto es, los datos personales se alojan en servidores ubicados fuera de la Unión Europea.

Para que el RGPD sea efectivo, el legislador europeo ha querido proteger el derecho a la protección de datos personales más allá de la Unión Europea. Por este motivo, aquellos países que se encuentren fuera de las fronteras europeas deben garantizar un nivel adecuado o unas garantías de adecuación en materia de protección de datos equiparables a los estándares de la Unión Europea.

En el caso de las compañías americanas si están adheridas al acuerdo EU-US Privacy Shield es suficiente. Como puede ser el caso, por ejemplo, de Google, Dropbox, OneDrive y Mailchimp.

Así, que tranquilos en ese aspecto.

Pero, queremos profundizar un poco más, y por ello, le hemos pedido a nuestro experto en protección de datos, Alberto Gil Borque, que nos ilustre en esta materia. 

Alberto Gil Borque

Alberto Gil Borque

Data Protection Lawyer

¿La transferencia internacional de datos afecta a mi empresa?

Hoy en día, en una sociedad globalizada, digitalizada y automatizada como en la que vivimos, las transferencias internacionales de datos no son una cuestión baladí, ya que la gran mayoría de empresas -sin saberlo-, en su día a día, realizan este tipo de comunicaciones internacionales de datos, bien sea porque alojan datos en servidores externos ubicados fuera de la Unión Europea (Dropbox, OneDrive, etc.), utilizan softwares cuyas bases de datos se alojan también en servidores de países terceros, o simplemente ese trasiego de información con empresas radicadas en países terceros es necesaria para el correcto desarrollo de la empresa.

¿Qué es una transferencia internacional de datos?

Podríamos entender como transferencia internacional de datos cualquier comunicación de datos personales que se produce entre un responsable o encargado situado en un país miembro de la Unión Europea y un encargado o responsable ubicado en un país tercero (país ubicado extramuros de la Unión Europea).

Ante esta situación, se antoja indispensable que el legislador europeo tenga en cuenta la protección de datos personales extramuros de las fronteras de los países miembros. De lo contrario, sería muy sencillo saltarnos la normativa y esta sería absolutamente ineficaz.

Una de las principales novedades es que con la entrada en vigor del RGPD quien exporta los datos a países terceros puede ser tanto un encargado como un responsable del tratamiento. De este modo, se armoniza la regulación en esta materia, ya que algunos de los países que forman la Unión Europea, exclusivamente permitían ser exportadores de datos a los responsables del tratamiento.

Si hacemos una breve comparativa entre lo dispuesto en esta materia en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (que transpone lo dispuesto en la Directiva 95/46/CE) y el RGPD en sede de transferencias internacionales de datos, se observa un claro y lógico cambio de rumbo del legislador europeo a la hora de legitimar esas transferencias internacionales de datos.

Así, atendiendo al artículo 33 de la LOPD la autorización de la AEPD es prácticamente la norma general para legitimar las transferencias internacionales de datos. Sin embargo, con el RGPD este trámite burocrático se convierte en la excepción.

El RGPD establece una suerte de condiciones para que una transferencia internacional sea legítima sin necesidad de contar con la aprobación de la autoridad de control competente; que el país o territorio al que se van a realizar las transferencias internacionales cuente con una decisión de adecuación otorgada por la Comisión Europea (art. 45 RGPD), que a pesar de no contar con una decisión de adecuación de la Comisión Europea el país tercero ofrezca garantías adecuadas (art. 46 RGPD), que se hayan aprobado unas normas corporativas vinculantes (art. 47 RGPD).

¿Es necesaria la autorización de la autoridad de control competente para la realización de transferencias internacionales de datos?

A mayor abundamiento, el RGPD ha contemplado la posibilidad de realizar transferencias internacionales de datos sin necesidad de contar con la autorización de la autoridad de control competente, pese a que no estemos ante ninguno de los supuestos citados en el párrafo precedente, como puede ser, por ejemplo, que el interesado haya dado explícitamente su consentimiento y otros supuestos regulados en el artículo 48 del RGPD.

 

Como hemos visto, para realizar transferencias internacionales de datos es necesario realizar un estudio previo del país al que vamos a realizar esas comunicaciones de datos y, en su caso, adoptar las medidas o mecanismos necesarios para que esas transferencias sean lícitas. Por lo que, si se encuentra en esta situación le recomendamos que contacte con un especialista en la materia para evitar posibles incumplimientos normativos.

Share This