Alternativas a Privacy Shield (mensajería instantánea de uso empresarial)
El Tribunal de Justicia de la Unión Europea (TJUE) dictó el pasado 16/07/2020 una sentencia que anula el escudo de privacidad Privacy Shield, el mecanismo legal más utilizado hasta entonces para realizar transferencias internacionales de datos entre la UE y Estados Unidos. Esta sentencia afecta a cientos de miles de empresas europeas que usan los servicios de las 5.378 compañías americanas que actualmente están adheridas a Privacy Shield: redes sociales, empresas tecnológicas, de marketing, de finanzas, de servicios, etc., que seguro afectará en gran parte a la economía digital entre la Unión Europea y Estados Unidos.
En cambio, el TJUE no se pronuncia en contra de la Decisión 2010/87 relativa a cláusulas contractuales tipo que ya existían antes del GDPR y que, de momento, siguen siendo válidas, por lo que se deberán revisar todas las transferencias internacionales basadas en Privacy Shield para adaptarlas a dichas cláusulas o a otras legitimaciones previstas en el GDPR. Por este motivo hemos procedido a buscar los proveedores de servicios en la nube tipo "messenger business" más comunes donde la mayoría de empresas europeas albergan datos personales para realizar copias de seguridad o tratamiento compartido de datos.
La selección de los proveedores se ha realizado mediante búsquedas con Google y Bing, buscando información en el web oficial del producto "mensajería instantánea de uso empresarial" y analizando el contenido de cada política de privacidad o términos de uso del servicio. En la tabla siguiente se detalla:
- App: el nombre del producto.
- País empresa: el país de la empresa que lo comercializa o, si es distinto, el país cuya legislación afecta a la empresa y a la cual se debe para cualquier litigio con sus clientes.
- URL App: enlace a la web oficial del producto.
- URL Legal: enlace a la política de privacidad.
- Garantía: referencia a la legislación o acuerdo internacional que garantiza la protección de datos.
- GDPR: legislación europea conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
- CCT: Cláusulas Contractuales Tipo conforme la Decisión 2010/87, de 5 de febrero de 2010, para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.
- BCR (AEPD): Normas Corporativas Vinculantes aprobadas por la Agencia Española de Protección de Datos.
- PShield: empresa adherida al acuerdo Privacy Shield entre UE y EEUU (marco invalidado).
- No: no existe legislación que garantiza la protección de datos.
LEGITIMACIÓN:
- GDPR: Legitimación supeditada al cumplimiento del art. 28 GDPR y 33 LOPDGDD, sin garantías adicionales.
- CCT: Legitimación supeditada a que el Responsable o Encargado del tratamiento compruebe, caso a caso, y, si es preciso, en colaboración con el destinatario de la Transferencia, si el Derecho del país de destino garantiza una protección adecuada de los datos transferidos conforme el Derecho de la Unión, proporcionando, cuando sea necesario, garantías adicionales a las ofrecidas por dichas cláusulas.
En este momento EEUU no cumple dichos requisitos, por lo que las transferencias internacionales basadas en CCT a este país no se consideran lícitas. - BCR (AEPD): Legitimación supeditada a la decisión de la AEPD.
- No: No se exponen garantías de legitimación.
APLICACIONES DE MENSAJERÍA INSTANTÁNEA DE USO EMPRESARIAL