X
NUEVO WEBINAR
Más allá de los silos: colaboración de datos Estrategias para el éxito del marketing VER AHORA

Transferencias de datos de conformidad con el artículo 46 del RGPD a raíz de Schrems II

A la luz de la decisión del Tribunal de Justicia de la Unión Europea (el "TJUE" o el "Tribunal") en el caso "Schrems II", los controladores de datos de la UE están revisando los mecanismos de transferencia de datos en los que se basan para transferir datos personales de conformidad con el artículo 46 del Reglamento General de Protección de Datos ("RGPD"). Esta nota se emite para nuestros clientes controladores de datos de la UE para ayudarles en dicha revisión en lo que respecta a la transferencia de datos personales de la UE a Lotame en los EE.UU., y las transferencias posteriores por instrucciones de nuestros clientes controladores de datos de la UE a otras plataformas en países que no tienen una decisión de adecuación de la Comisión Europea.

La información que figura a continuación tiene por objeto:

  • Ayudar a nuestros clientes a determinar si Schrems II podría aplicarse a la transferencia de datos personales de la UE en relación con la prestación de servicios por parte de Lotame, y de qué modo;
  • Describa las salvaguardias que Lotame ha establecido para proteger los datos personales a la luz de las recomendaciones de Schrems II;
  • Proporcionar un mecanismo para suscribir cláusulas contractuales tipo ("CCT")en los casos en que aún no existan.
  • Proporcionar información para ayudar a nuestros clientes en su papel de responsables del tratamiento de datos de la UE a realizar cualquier evaluación de riesgos que pueda ser necesaria en respuesta a Schrems II.

TENGA EN CUENTA: La decisión Schrems II no tiene ningún efecto y no es necesario que Lotame o nuestros clientes tomen ninguna medida adicional a menos y en la medida en que los datos personales de la UE se transfieran realmente a Lotame en relación con la prestación de sus productos o servicios. Existen situaciones en las que la prestación de servicios por parte de Lotame no implica la transferencia de datos personales de la UE a Lotame o a terceros países. Cuando tal situación sea aplicable, se reflejará en el acuerdo de servicios aplicable. Si las transferencias del artículo 46 no son aplicables, no es necesario examinar más a fondo el impacto de Schrems II.


Transición inmediata y automática del Escudo de la privacidad a las cláusulas contractuales tipo

Lotame ha utilizado el Marco del Escudo de Privacidad EE.UU./UE para respaldar los flujos de datos personales procedentes de la Unión Europea y también ha celebrado Acuerdos de Protección de Datos ("APD") conformes con el RGPD con clientes para los que procesamos datos personales de interesados de la UE. Sin embargo, en virtud de la decisión del TJUE, los controladores de datos de la UE ya no pueden confiar en los compromisos del Escudo de Privacidad; como tal, las transferencias de datos personales desde la UE bajo el APD de Lotame ahora se rigen por los CEC aprobados por la Comisión. El APD estándar actual de Lotame establece que los CCE aplicables entran en vigor automáticamente al iniciarse una transferencia de datos personales de la UE a Lotame. Póngase en contacto con su gestor de cuenta para iniciar la ejecución de un APD de Lotame en caso de que su revisión sugiera que se requieren CEC pero aún no se han establecido.

Si bien Lotame ya no se basa en el Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU. como base legal para las transferencias internacionales de información personal de la UE/EEE y Suiza a los EE.UU., Lotame sigue estando certificada bajo los marcos del Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU. según lo establecido por el Departamento de Comercio de los EE.UU. con respecto a la recopilación, uso y retención de información personal transferida desde la UE/EEE, el Reino Unido y Suiza a los Estados Unidos.


Los CCE siguen siendo válidos para las transferencias de datos a Lotame

Aunque el TJCE confirmó que las cláusulas tipo de protección de datos siguen siendo válidas, indicó que los responsables del tratamiento de datos que deseen basarse en las cláusulas tipo de protección de datos pueden estar obligados a llevar a cabo una diligencia debida adicional en relación con el sistema jurídico que rige el acceso a los datos personales por parte de las autoridades públicas en el país del importador de datos. En concreto, el Tribunal dijo que los exportadores de datos europeos pueden estar obligados a verificar "si la legislación del tercer país de destino garantiza una protección adecuada, con arreglo al Derecho de la UE, de los datos personales transferidos en virtud de las cláusulas tipo de protección de datos, proporcionando, en caso necesario, garantías adicionales a las ofrecidas por dichas cláusulas".


Leyes de vigilancia de EE.UU.

El TJUE examinó las cuestiones derivadas de la preocupación de que las agencias de inteligencia estadounidenses pudieran acceder a los datos transferidos en virtud de dos fuentes de la legislación estadounidense: La Orden Ejecutiva 12333 ("OE 12333") y la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera ("FISA 702").

La OE 12333 es una directiva general que organiza las actividades de inteligencia de Estados Unidos. En particular, autoriza a las agencias de inteligencia estadounidenses a recopilar información extranjera de "inteligencia de señales", es decir, información recogida a partir de comunicaciones y otros datos transmitidos o accesibles por radio, cable y otros medios electromagnéticos. Lo que es importante señalar es que la OE 12333 no incluye, en sí misma, ninguna autorización para obligar a empresas privadas a revelar datos.

FISA 702 es un estatuto que establece un proceso judicial que autoriza un tipo específico de adquisición de datos. A diferencia de la OE 12333, en virtud de la FISA 702, un tribunal independiente puede autorizar al Gobierno a emitir órdenes que obliguen a los proveedores de servicios de comunicaciones electrónicas ("ECSP") de Estados Unidos a revelar datos de comunicaciones de determinadas personas no estadounidenses situadas fuera de Estados Unidos para obtener tipos específicos de información de inteligencia extranjera.

Con respecto a FISA 702, el TJCE identificó dos programas de vigilancia del gobierno de EE.UU. - "PRISM" (ahora "DOWNSTREAM") y "UPSTREAM"- que, en su opinión, "exceden de lo necesario en una sociedad democrática para fines de seguridad nacional" y socavan desproporcionadamente los derechos fundamentales a la intimidad de los interesados de la UE. En la medida en que un flujo de datos concreto sea susceptible de ser vigilado por el gobierno estadounidense en virtud de cualquiera de estos programas, el TJCE concluyó que los responsables del tratamiento pueden tener que adoptar "medidas suplementarias" para garantizar el nivel de protección exigido por la legislación de la UE.

  • Recogida de datos PRISM (o "DOWNSTREAM"): En el marco de este programa, las agencias de inteligencia estadounidenses pueden dirigir la recogida de comunicaciones "en sentido descendente" a través de la asistencia obligada de los ECSP. En efecto, el gobierno envía un selector, por ejemplo, una dirección de correo electrónico, al ECSP, y el ECSP está obligado a proporcionar al gobierno todas las comunicaciones enviadas a o desde ese selector.
  • Recogida de datos UPSTREAM: Este programa consiste en la recopilación indirecta de comunicaciones a través de la asistencia obligada de las ECSP que proporcionan la columna vertebral de las telecomunicaciones estadounidenses y la infraestructura de Internet. Básicamente, las agencias de inteligencia estadounidenses copian y filtran la enorme cantidad de datos que fluyen a través de la red de cables, conmutadores y enrutadores que conforman la infraestructura de telecomunicaciones e Internet de Estados Unidos.


¿Está Lotame sujeto a las leyes de vigilancia de EE.UU.?

Basándose en una cuidadosa revisión, Lotame ha determinado que ni la OE 12333 ni los programas bajo la FISA 702 suponen un riesgo material de acceso gubernamental a los datos personales transferidos y procesados por Lotame por o en nombre de clientes que transfieren datos personales de interesados europeos.

En primer lugar, como ya se ha señalado, la OE 12333 no incluye, en sí misma, ninguna autorización para obligar a empresas privadas como Lotame a revelar datos personales a las agencias de inteligencia estadounidenses. Cualquier exigencia de que una empresa de Estados Unidos revele datos al Gobierno con fines de inteligencia debe estar autorizada por ley y debe dirigirse a personas o identificadores específicos, como a través de órdenes FISA 702: la recopilación masiva está expresamente prohibida.

En segundo lugar, al igual que la mayoría de las empresas tecnológicas estadounidenses que ofrecen servicios basados en la nube, Lotame podría ser considerada un ECSP y, por tanto, estar sujeta a la FISA 702. Sin embargo, Lotame no maneja ningún dato personal que pudiera ser de interés para las agencias de inteligencia estadounidenses. Los compromisos del gobierno y las políticas públicas de EE.UU. restringen la recopilación de información a lo necesario para fines de inteligencia exterior y prohíben expresamente la recopilación de información con el fin de obtener una ventaja comercial. Los Comportamientos que Lotame obtiene de sus Clientes Comerciales y Socios de Datos son información comercial ordinaria utilizada para ayudar en la Publicidad a Medida y la Personalización de Contenidos y es poco probable que esos Comportamientos sean de algún interés o valor para las agencias de inteligencia estadounidenses. Por último, Lotame no opera ninguna parte de la columna vertebral de las telecomunicaciones de EE.UU. y la infraestructura de Internet por lo que sería poco probable que Lotame sea objeto de una orden de recopilación de datos UPSTREAM.


Medidas técnicas empleadas por Lotame coherentes con las recomendaciones publicadas por el Consejo Europeo de Protección de Datos ("CEPD")

El Sistema de Gestión de Seguridad de la Información de Lotame cuenta con la certificación ISO/IEC27001:2013 y, como tal, Lotame proporciona sólidas salvaguardas para la información personal transferida a EE. UU. en relación con sus servicios. Por ejemplo:

  • Los registros de aplicaciones, que pueden contener direcciones IP completas, se transfieren a EE.UU. sólo con fines operativos internos y se conservan durante un máximo de 10 días.
  • Los datos de comportamiento de los interesados se asocian únicamente a identificadores seudónimos.
  • Los identificadores de campañas publicitarias e información similar se capturan y transmiten en forma de cadenas alfanuméricas que carecen de significado para terceros, incluida la Administración.
  • Lotame almacena los datos personales de los residentes en la UE de forma segura a través del servicio S3 de Amazon. Puede encontrar más información sobre la seguridad de S3 aquí. En relación con nuestro uso de este servicio, Lotame despliega una serie de salvaguardas adicionales:
    • Los datos se cifran en tránsito mediante HTTPS sobre TLS v1.2 y en reposo;
    • Para aquellos clientes que no puedan realizar transferencias de servidor a servidor a través del servicio S3 de Amazon, admitimos la funcionalidad de Protocolo Seguro de Transferencia de Archivos, que garantiza que tanto las conexiones de comandos como las de datos estén cifradas entre el cliente y el servidor FTP para permitir que los datos personales se transfieran de forma segura a través de la red.
  • Por último, en la medida limitada en que Lotame utiliza subprocesadores, hemos celebrado DPA compatibles con el GDPR con nuestros subprocesadores, que incluyen SCC, para salvaguardar los datos de los clientes.


Mayores garantías y mejora continua

En consonancia con nuestro compromiso con la Privacidad por Diseño, Lotame continuará revisando y perfeccionando sus políticas y procedimientos para maximizar la privacidad personal y la seguridad de los datos personales recogidos y transmitidos desde Europa y todas las demás jurisdicciones en las que hacemos negocios.


Conclusión

Lotame se compromete a cumplir con la legislación aplicable y las mejores prácticas para salvaguardar la privacidad de los consumidores y mantener la confidencialidad e integridad de los datos de nuestros clientes, y permanecemos atentos a las oportunidades para mejorar la seguridad de los datos personales de acuerdo con Privacy by Design and Default.