El Escudo de Privacidad
ha pasado a la historia

Además, hay que tener en cuenta los riesgos derivados de la CLOUD Act (Clarifying Lawful Overseas Use of Date): esta ley permite a las autoridades estadounidenses acceder a datos de empresas estadounidenses y sus sucursales, incluso si estos se almacenan o se procesan fuera de los EE. UU.

Como director de IT, es usted directamente responsable de los datos de sus clientes, empleados y socios, incluso si subcontrata el procesamiento de datos. Las sanciones por infracciones ascienden hasta 20 millones de euros o al 4% de sus ingresos a nivel mundial, una dimensión totalmente nueva. Las autoridades, además, pueden detener la transferencia ilegal de datos. Los directores de IT pueden ser considerados personalmente responsables y los seguros de responsabilidad civil para administradores y directivos tienen límites de aplicación.

¿Qué medidas debería tomar? No existe aún ninguna recomendación definitiva por parte del CEPD (Comité Europeo de Protección de Datos) o de la Comisión Europea. Por este motivo, nos gustaría facilitarle esta guía con la información más relevante. Aquí están las 7 preguntas que debería hacer:

Los datos personales son cualquier información relacionada con una persona física identificada o identificable: nombre, ubicación, identificadores online (p. ej. direcciones de IP) así como datos sobre la identidad física, psicológica, económica o social (se incluyen también números de fax y direcciones de correo electrónico). La transferencia de datos personales tiene lugar, por ejemplo, en la correspondencia por correo electrónico, fax o SMS.

También debe aclarar: ¿Qué datos posee o almacena? ¿Dónde los almacena? ¿Quién procesa los datos y dónde los transfiere? Y lo que es más importante: ¿Dispone de la base legal para ello?

Entre los posibles candidatos se encuentran Google, Facebook, Twilio, Zoom, Slack, Proofpoint, Dropbox, Microsoft y LinkedIn. En caso afirmativo, debería comprobar si realiza la exportación de datos conforme a los requisitos del RGPD, por ejemplo, en el ámbito de la seguridad y el archivado del correo electrónico.

En la página web del Privacy Shield Framework encontrará una lista de todas estas compañías.

El Escudo de Privacidad ha dejado de ser válido y no se ha concedido periodo de gracia. En caso afirmativo, debería clarificar de inmediato si las empresas cumplen los requisitos del RGPD. En caso de duda, solicite la expedición de un certificado que confirme que en ningún momento se transferirán datos a los EE. UU. o a proveedores de servicios en los EE. UU. durante el tratamiento.

Según el comunicado del CEPD del 24 de julio de 2020, la legislación estadounidense no garantiza una protección equivalente con respecto a las SCC (cláusulas contractuales tipo) y las BCR (normas corporativas vinculantes). Esta evaluación también se aplica a los acuerdos correspondientes con países como China o Rusia.

El acuerdo individual de las SCC y las BCR con cada proveedor estadounidense requiere un gran esfuerzo administrativo y legal. Aunque se requieran medidas adicionales, en noviembre de 2020, el CEPD sólo ha emitido recomendaciones preliminares para su aplicación (actualmente sólo están disponibles en inglés). Los riesgos intrínsecos de la CLOUD Act persisten en lo que respecta a la implementación de las SCC y las BCR.

En principio, sí, mientras se cumplan las condiciones correspondientes. Sin embargo, se encontrará con obstáculos: el consentimiento individual debe darse de forma expresa, específica e informada.

Art. 49 del RGPD

Cámbiese ahora y reduzca al mínimo los riesgos para la privacidad con los servicios innovadores de la plataforma de Retarus. Procesamos todos los datos de nuestros clientes europeos exclusivamente en centros de datos europeos, en Frankfurt, Múnich y Zúrich y garantizamos el procesamiento intraeuropeo incluso durante un failover o las tareas de mantenimiento. Retarus no utiliza ninguna infraestructura de hiperescala estadounidense como Google, AWS o Azure. Retarus, con sede principal en Alemania, ha sido gestionada por sus propietarios desde su fundación, sin la participación de empresas extranjeras.

Si fuera preciso, puede cambiarse a Retarus Enterprise Cloud con su tráfico de correo electrónico, SMS y fax en un plazo de tan solo 24 horas. Obtenga una rápida visión general de nuestros servicios y descubra cómo le apoyamos en la aplicación de los requisitos de cumplimiento.

La situación actual en materia de protección de datos parece compleja y engañosa. Sin embargo, no debemos olvidar que también conlleva ventajas importantes, ya que así protegerá mejor su información comercial sensible. Después de todo, el RGPD es de vital importancia.