Privacidad en los servicios de Internet para empresas


Laura Aragonés     20/04/2021

CONTRATACIÓN DE SERVICIOS DE INTERNET

La mayoría de las empresas (llámense profesionales, organizaciones, entidades, administraciones, etc.) precisan contratar programas informáticos basados en servicios de Internet para llevar a cabo una gestión eficiente de su actividad. Estas son, por ejemplo:

  • Correo electrónico
  • Mensajería instantánea
  • Servicios en la nube (cloud, backup, mailing)
  • Videoconferencia
  • Soporte remoto

Cuando se contrata un servicio de Internet, debe asegurarse que el proveedor del servicio ofrece garantías suficientes para aplicar medidas apropiadas de protección de datos y cumple con las normativas de privacidad (art. 28.1 GDPR). Para lograrlo, se deben revisar las condiciones de uso de la plataforma para comprobar si existe una versión específica para uso profesional, si se realizan transferencias internacionales de datos y si el servicio garantiza un nivel de seguridad adecuado al riesgo.

VERSIÓN DE USO PROFESIONAL vs VERSIÓN DE USO PARTICULAR

Encontraremos múltiples diferencias entre las versiones profesionales (o business) y las de uso particular (o doméstico), pero hay una fundamental, y es en lo relativo al cumplimiento de las normativas de privacidad:

  • En las versiones profesionales, el proveedor del servicio interviene como ENCARGADO del tratamiento y el usuario que contrata el servicio como RESPONSABLE del tratamiento.
  • En las versiones de uso particular, el proveedor del servicio interviene como RESPONSABLE del tratamiento y el usuario como INTERESADO (persona física titular de los datos personales).

Por tanto, si la empresa contrata una versión de uso particular, estaría actuando como interesado, no como responsable, y consecuentemente no estaría legitimada para utilizar el servicio, pudiendo ser sancionada por la Autoridad de control por considerarse una infracción grave (art. 83.4 GDPR y 73 LOPDGDD).

Un ejemplo de esta diferencia sería, si una empresa contratara Google Workspace o WhatsApp Business (versiones profesionales) para utilizarlas en su actividad diaria, Google o Facebook intervendrían como encargados del tratamiento, y la empresa que contrata como responsable del tratamiento. En cambio, si utilizara Google Gmail o WhatsApp Messenger (versiones de uso particular) Google o Facebook serían responsables del tratamiento y la empresa que usa Google Gmail o WhatsApp Messenger tendría el rol de interesado (que no es lo correcto, ya que debería ser una persona física en el ejercicio de actividades exclusivamente personales o domésticas).

TRANSFERENCIAS INTERNACIONALES DE DATOS

Tan importante es contratar la versión profesional como asegurarse de si se realizan transferencias internacionales de datos personales, debido a que los proveedores de servicios de Internet son generalmente organizaciones internacionales, con establecimiento en distintos lugares del mundo. Por ello, la empresa contratante deberá comprobar en las respectivas políticas de privacidad si el uso de estos servicios comporta tratar los datos personales fuera del Espacio Económico Europeo (EEE), llevando a cabo una transferencia internacional.

Si se da el caso, habrá que revisar si existen mecanismos que habiliten estas transferencias de datos personales fuera del EEE, como decisiones de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes u otras garantías que garanticen un nivel adecuado de protección de datos. De lo contrario, la empresa podría ser sancionada por la Autoridad de Control por considerarse una infracción muy grave (art. 83.5 y 83.6 GDPR y 72 LOPDGDD).

Cabe destacar que numerosos servicios de Internet gratuitos conllevan el tratamiento de datos personales en Estados Unidos, lo cual significa que la transferencia internacional puede ser ilícita porque la Sentencia TJUE del caso C-311/18, anuló la decisión de adecuación Privacy Shield, a no ser que se legitime de alguna de las formas expuestas en el párrafo anterior.

Las cuentas profesionales de los servicios más utilizados suelen asegurar que los datos personales se tratan en territorio europeo, generalmente en Irlanda o Luxemburgo y que no se realizan transferencias internacionales a Estados Unidos. De todas formas, se deberá verificar que esta afirmación se expone por escrito y guardar el enlace y su contenido para poder acreditar que lo garantizan.

En el ejemplo de Google Workspace o WhatsApp Business, los datos personales para estas versiones se almacenan en servidores ubicados en Irlanda, estableciendo allí Google y Facebook sus respectivas sedes, y, por tanto, no se consideran transferencias internacionales. Si la empresa utilizase Google Gmail o WhatsApp Messenger (versiones de uso particular), el tratamiento de datos tendría lugar en Estados Unidos, tal y como exponen en sus políticas de privacidad.

MEDIDAS DE SEGURIDAD

Otro punto para tener en cuenta es que el proveedor ofrezca suficientes garantías para realizar el tratamiento de datos personales conforme al GDPR. Para ello, la empresa contratante tendrá que revisar las medidas de seguridad declaradas en las políticas de privacidad e implementarlas, si no vienen por defecto, en la configuración de los servicios, por ejemplo:

  • utilizar certificado SSL
  • cifrar la información de extremo a extremo
  • impedir accesos no autorizados
  • disponer de mecanismos para actualizar datos
  • garantizar la supresión efectiva de datos
  • posibilitar el ejercicio de los derechos del interesado
  • garantizar la restauración de datos mediante copias de respaldo
  • garantizar la disponibilidad y resiliencia de los sistemas de información

Estas medidas son importantes porque recordemos que la empresa actúa como responsable del tratamiento y debe velar por la seguridad del tratamiento. Por incumplir estas medidas la empresa podría ser sancionada por la Autoridad de control por considerarse una infracción grave (art. 83.4 GDPR y 73 LOPDGDD).


INFORMACIÓN RELACIONADA:

Tabla comparativa de los servicios de mensajería de uso empresarial

Tabla comparativa de los servicios de cloud y mailing