Legitimació per utilitzar aplicacions internacionals


Manuel Castilleja Toscano     02/05/2022

Quan contractem una aplicació (software, app, plataforma, etc.) per a la gestió de l'activitat de la nostra empresa hem de tenir en compte on està ubicada l'empresa que ens proporciona aquests serveis per determinar si estem davant d'una Transferència Internacional de Dades (TID) .

Una TID és el traspàs de dades personals a empreses o organitzacions no establertes a l'Espai Econòmic Europeu (EEE).

Tipus de proveïdors internacionals segons la ubicació:

  • Amb sucursals a l'EEE, com Google, Microsoft, Apple, Amazon, WhatsApp, etc. en les seves versions professionals, que els permet complir amb el requisit de no realitzar TID, sempre que les dades que tracten no siguin transferides posteriorment a països no establerts a l'EEE.
  • Sense sucursals a l'EEE, però amb una Decisió d'adequació de la Comissió UE, que els permet garantir que la TID té un nivell de protecció de dades personals suficient.
  • Sense sucursals a l'EEE, ni Decisió d'adequació, com Mailchimp, AWeber, Dropbox, etc. i la majoria de les empreses americanes, perquè la seva legislació local no garanteix un nivell de protecció suficient de dades personals.

En els dos primers casos es poden fer TID només amb la formalització d'un contracte de serveis que inclogui els requisits estipulats al Reglament General de Protecció de Dades (GDPR) per a les transferències internacionals.

En el tercer cas, només es podran fer TID si se subscriuen acords que ofereixin garanties suficients per a les dades que es transfereixen. A tenir en compte que aquestes garanties no només incumbeixen el proveïdor en qüestió, sinó també a la legislació local, per la qual cosa a molts països on l'administració pot accedir a la informació sense un mandat judicial, com són els EUA, la Xina, Rússia, etc. ., ja de per si, no compleixen aquests requisits.

Les transferències internacionals que no compleixen els requisits descrits tenen la consideració d'infraccions molt greus i no prescriuen fins als 3 anys des de la seva utilització, i poden sancionar-se amb multes molt quantioses en funció de les circumstàncies de cada cas individual.

Conclusions

Si la vostra organització fa ús d'alguna eina d'aquest tipus o preveu fer-ho en el futur, malgrat que el proveïdor del servei en la vostra política de privadesa indiqui que compleix el GDPR, us recomanem que es posin en contacte amb un consultor de privadesa indicant-vos el nom de l'aplicació i, si és possible, l'enllaç a la seva pàgina web comercial per analitzar-la i determinar, en primer lloc, si es produeixen aquestes TID o no, i en segon lloc, si es pot dur a terme o no aquesta transmissió de dades i, per tant, fer un ús legítim de l'eina.

Annex

  • Els països que componen l'EEE són:

Alemanya, Àustria, Bèlgica, Bulgària, Txèquia, Xipre, Croàcia, Dinamarca, Eslovàquia, Eslovènia, Espanya, Estònia, Finlàndia, França, Grècia, Hongria, Irlanda, Itàlia, Islàndia, Letònia, Liechtenstein, Lituània, Luxemburg, Malta, Noruega, Països Baixos, Polònia, Portugal, Romania i Suècia.

  • Els països que tenen una decisió d'adequació són:

Andorra, Argentina, Canadà, Guernsey, Illa de Man, Illes Fèroe, Israel, Japó, Jersey, Nova Zelanda, Regne Unit, República de Corea, Suïssa i Uruguai.