Alternativas a Privacy Shield (mensajería instantánea de uso empresarial)


Laura Aragonés     31/07/2020

El Tribunal de Justícia de la Unió Europea (TJUE) va dictar el passat 2020.07.16 una sentència que anul·la l'escut de privacitat Privacy Shield, el mecanisme legal més utilitzat fins llavors per fer transferències internacionals de dades entre la UE i els Estats Units. Aquesta sentència afecta centenars de milers d'empreses europees que fan servir els serveis de les 5.378 companyies americanes que actualment estan adherides al Privacy Shield: xarxes socials, empreses tecnològiques, de màrqueting, de finances, de serveis, etc., que segur afectarà en gran part a l'economia digital entre la Unió Europea i els Estats Units.

En canvi, el TJUE no es pronuncia en contra de la Decisió 2010/87 relativa a clàusules contractuals tipus que ja existien abans del GDPR i que, de moment, segueixen sent vàlides, per la qual cosa s'hauran de revisar totes les transferències internacionals basades en el Privacy Shield per adaptar-les a les esmentades clàusules o altres legitimacions que preveu el GDPR. Per aquest motiu, hem procedit a buscar els proveïdors de serveis en el núvol tipus "messenger business" més comuns on la majoria d'empreses europees alberguen dades personals per a realitzar còpies de seguretat o tractament compartit de dades.

La selecció dels proveïdors s'ha realitzat mitjançant recerques amb Google i Bing, buscant informació al web oficial del producte "missatgeria instantània d'ús empresarial" i analitzant el contingut de cada política de privacitat o termes d'ús de el servei. A la taula següent es detalla:

  • App: el nome del producte.
  • País empresa: el país de l'empresa que el comercialitza o, si és diferent, el país on la legislació del qual afecti a l'empresa i a la qual es deu per a qualsevol litigi amb els seus clients.
  • URL App: enllaç a la web oficial del producte.
  • URL Legal: enllaç a la política de privacitat.
  • Garantia: referència a la legislació o acord internacional que garantitza la protecció de dades.
    • GDPR: legislació europea conforme el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016.
    • CCT: Clàusules Contractuals Tipus d'acord la Decisió 2010/87, de 5 de febrer de 2010, per a la transferència de dades personals als encarregats del tractament establerts en tercers països.
    • BCR (AEPD): Normes Corporatives Vinculants aprovades per l'Agència Espanyola de Protecció de Dades.
    • PShield: empresa adherida a l'acord Privacy Shield entre UE i EEUU (marc invalidat).
    • N: no existeix legislació que garanteix la protecció de dades.

LEGITIMACIÓ:

  • GDPR: Legitimació supeditada a l'acompliment de l'art. 28 GDPR i 33 LOPDGDD, sense garanties addicionals.
  • CCT i (?): Legitimació supeditada al fet que el Responsable o Encarregat del tractament comprovi, cas a cas, i, si cal, en col·laboració amb el destinatari de la transferència, si el Dret del país de destinació garanteix una protecció adequada de les dades transferides d'acord el Dret de la Unió, proporcionant, quan sigui necessari, garanties addicionals a les ofertes per aquestes clàusules.
    En aquest moment els EEUU no compleix aquests requisits, de manera que les transferències internacionals basades en CCT a aquest país no es consideren lícites.
  • BCR (AEPD): Legitimació supeditada a la decisió de l'AEPD.

APLICACIONS DE MISSATGERIA INSTANTÀNIA D'ÚS EMPRESARIAL

App Pais empresa URL App URL Legal Garantía
ChatWork Japó go.chatwork.com https://go.chatwork.com/es/privacy.html GDPR
G Suite IRLANDA gsuite.google.es https://policies.google.com/privacy GDPR / CCT
Flowdock EEUU broadcom.com https://www.broadcom.com/company/legal/privacy CCT
IRCCloud REGNE UNIT irccloud.com https://www.irccloud.com/privacy CCT / PShield
WhatsApp Business IRLANDA whatsapp.com/business https://www.whatsapp.com/legal/#privacy-policy-information-we-collect CCT / PShield
Mattermost EEUU mattermost.com https://mattermost.com/privacy-policy/ CCT / PShield
RingCentral Glip EEUU ringcentral.com https://www.ringcentral.com/legal/rc-privacy-notice CCT / PShield
Slack EEUU slack.com https://slack.com/intl/es-es/privacy-policy CCT / PShield
Cisco Webex Teams EEUU webex.com https://www.cisco.com/c/es_es/about/legal/privacy-full.html BCR (AEPD) / PShield
Hibox EEUU hibox.co https://www.hibox.co/privacy-policy/ GDPR (?)
Office Chat EEUU officechat.com https://officechat.com/blog/privacy/ GDPR (?)
Rocket.chat EEUU rocket.chat https://rocket.chat/privacy/ GDPR (?)
Convo EEUU convo.com https://www.convo.com/privacy-policy/ PShield
Discord EEUU https://discord.com/new https://discord.com/new/privacy PShield
Microsoft Teams EEUU microsoft.com https://privacy.microsoft.com/es-es/privacystatement PShield
Ryver EEUU ryver.com https://ryver.com/privacy-policy/ PShield
Workplace IRLANDA/EEUU workplace.com https://www.workplace.com/legal/FB_Work_Privacy PShield