Legitimación para utilizar aplicaciones internacionales


Manuel Castilleja Toscano     02/05/2022

Cuando contratamos una aplicación (software, app, plataforma, etc.) para la gestión de la actividad de nuestra empresa debemos tener en cuenta donde está ubicada la empresa que nos proporciona estos servicios para determinar si estamos ante una Transferencia Internacional de Datos (TID).

Una TID es el traspaso de datos personales a empresas u organizaciones no establecidas en el Espacio Económico Europeo (EEE).

Tipos de proveedores internacionales según su ubicación:

  • Con sucursales en el EEE, como Google, Microsoft, Apple, Amazon, WhatsApp, etc. en sus versiones profesionales, que les permite cumplir con el requisito de no realizar TID, siempre y cuando los datos que tratan no sean transferidos posteriormente a países no establecidos en el EEE.
  • Sin sucursales en el EEE, pero con una Decisión de adecuación de la Comisión UE, que les permite garantizar que la TID posee un nivel de protección de datos personales suficiente.
  • Sin sucursales en el EEE, ni Decisión de adecuación, como Mailchimp, AWeber, Dropbox, etc. y la mayoría de las empresas americanas, porque su legislación local no garantiza un nivel de protección suficiente de datos personales.

En los dos primeros casos se pueden realizar TID solo con la formalización de un contrato de servicios que incluya los requisitos estipulados en el Reglamento General de Protección de Datos (GDPR) para las transferencias internacionales.

En el tercer caso, sólo se podrán realizar TID si se suscriben acuerdos que ofrezcan garantías suficientes para los datos que se transfieren. A tener en cuenta que estas garantías no solo incumben al proveedor en cuestión, sino también a la legislación local, por lo que en muchos países donde la administración puede acceder a la información sin un mandato judicial, como son EEUU, China, Rusia, etc., ya de por sí, no cumplen dichos requisitos.

Las transferencias internacionales que no cumplen los requisitos descritos tienen la consideración de infracciones muy graves y no prescriben hasta los 3 años desde su utilización, pudiendo sancionarse con multas muy cuantiosas en función de las circunstancias de cada caso individual.

Conclusiones

Si vuestra organización hace uso de alguna herramienta de este tipo o prevé hacerlo en el futuro, pese a que el proveedor del servicio en su política de privacidad indique que cumple con el GDPR, os recomendamos que se pongan en contacto con un consultor de privacidad indicándole el nombre de la aplicación y, a ser posible, el enlace a su página web comercial para analizarla y determinar, en primer lugar, si se producen o no estas TID y, en segundo, si se puede llevar a cabo o no esa transmisión de datos y, por ende, poder hacer un uso legítimo de la herramienta.

Anexo

  • Los países que componen el EEE son:

Alemania, Austria, Bélgica, Bulgaria, Chequia, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Islandia, Letonia, Liechtenstein, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Rumanía y Suecia.

  • Los países que poseen una Decisión de adecuación son:

Andorra, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido, República de Corea, Suiza y Uruguay.