Publicaciones

Comienza el contenido principal

Las transferencias internacionales de datos tras Schrems II, en especial, su impacto en los servicios de “cloud computing”

| Publicaciones | Privacy, IT & Digital Business

A la hora de contratar con empresas que se encuentren ubicadas fuera del EEE, los responsables del tratamiento deberán garantizar la firma de las Cláusulas Contractuales Tipo y también la implementación efectiva de medidas que garanticen un nivel adecuado de protección de los datos personales

La computación en la nube o cloud computing se ha convertido en una herramienta imprescindible para el almacenamiento de datos en los diferentes sectores de nuestro tejido empresarial, consolidándose como una alternativa a la estructura clásica de la empresa, al proporcionar multitud de ventajas tales como flexibilidad y reducción de costes, entre otros. 

Así, recientemente el Comité Europeo de Protección de Datos (“CEPD”) se ha mostrado favorable a la aprobación de dos códigos de conducta en materia de protección de datos para los proveedores de servicios cloud computing, tanto del presentado por la autoridad de control belga de la asociación Scope Europe, como el de la autoridad de control francesa presentado por CISPE. Sin embargo, ninguno de dichos códigos de conducta ofrece soluciones mediatas al mayor problema que, en materia de protección de datos, presenta la contratación de un servicio de cloud computing: las transferencias internacionales de datos a un tercer país fuera del Espacio Económico Europeo (EEE).

En este sentido, cabe tener presente que, en la práctica, la mayoría de los prestadores de servicios de cloud computing tiene su sede o cuenta con centros de datos en Estados Unidos. Así, tras la anulación del Privacy Shield por el Tribunal de Justicia de la Unión Europea, se hace preciso que los responsables del tratamiento que contraten una solución de cloud computing garanticen la implementación de las medidas y salvaguardias adecuadas a fin de asegurar un nivel de seguridad adecuada para los datos.

A este respecto, el CEPD ha publicado diferentes recomendaciones e instrucciones en relación con las medidas que se deben tener en cuenta por parte de los responsables del tratamiento para asegurar un nivel de cumplimiento adecuado de protección de datos: 

  1. Identificar las transferencias de datos que se realizan; 
  2. Determinar las herramientas o mecanismos implementadas en que cada transferencia;
  3. Evaluar si las herramientas o mecanismos implementados son eficaces.
  4. Adoptar medidas complementarias.
  5. Reevaluar y realizar un seguimiento continuado.

Asimismo, el pasado 4 de junio de 2021, la Comisión Europea ha publicado las nuevas Cláusulas Contractuales Tipo, con un modelo para la transferencia internacional de datos, y otro para la relación entre responsables y encargados, cuyo principal objetivo es garantizar el cumplimiento del Reglamento General de Protección de Datos (“RGPD”) en relación con las transferencias internacionales de datos.

En definitiva, a la hora de contratar con empresas que se encuentren ubicadas fuera del EEE, como puede ser Estados Unidos, los responsables del tratamiento deberán tener un especial cuidado a la hora de elegir y seleccionar sus proveedores de servicios, garantizando ya no solo la firma de las Cláusulas Contractuales Tipo cuando se realicen transferencias internacionales, sino también la implementación efectiva de medidas que garanticen un nivel adecuado de protección de los datos personales, de acuerdo con su responsabilidad proactiva.

En esta línea, dentro de la estrategia de la Unión Europea para adaptarse a la anulación del Privacy Shield, el Supervisor Europeo de Protección de Datos ha iniciado dos investigaciones para determinar si los contratos firmados entre las diferentes instituciones europeas con Amazon y Microsoft para la prestación de  servicios de cloud computing cumplen con el RGPD. Así, las conclusiones definitivas de sendas investigaciones por parte del Supervisor Europeo de Protección Datos podrán tener un impacto directo en el sector de los servicios de cloud computing dentro de la Unión Europea.

Puede descargar el documento desde aquí

Para más información, puede contactar con:

Isabel Martínez Moriel, Socio del área de Privacy, IT & Digital Business

isabel.martinez@es.Andersen.com

Fin del contenido principal