Cómo cumplir con la Ley de Denuncias 2/2023
La credibilidad y la confiabilidad son esenciales cuando se trata de denuncias. Los sistemas de denuncia a menudo manejan información confidencial sobre las operaciones de una persona o empresa. Tras la implementación del Reglamento General de Protección de Datos (GDPR) y la derogación del Escudo de privacidad (más sobre esto a continuación), la protección de los denunciantes ahora está en el centro de atención. En ningún caso entidades externas podrán solicitar o acceder a la información en casos de denuncias. Por esta razón, se ha vuelto cada vez más importante elegir el alojamiento europeo de su solución de denuncia.
En esta guía, describiremos las consecuencias del Escudo de privacidad invalidado y la sentencia Schrems II para las empresas europeas. También mencionaremos algunos elementos importantes a tener en cuenta al elegir una solución de denuncia que aloje y gestione datos personales.
Los datos personales incluyen toda la información sobre una persona identificada o identificable, entre otros:
Los datos sensibles requieren protección adicional porque su divulgación podría generar riesgos significativos para los derechos fundamentales y la libertad del individuo. Esto incluye información sobre etnia, sexualidad, creencias políticas y religiosas, información médica, genética y biométrica, así como condiciones sociales e información sobre la vida privada de la persona.
Desde la implementación del Reglamento General de Protección de Datos (GDPR), todos los ciudadanos de los Estados miembros de la UE pueden disfrutar del mismo nivel de protección de datos personales. Esto también significa que puede transferir datos personales de forma segura dentro del área de la UE/EEE. Como no existen leyes comparables fuera de la UE, las normas de transferencia de datos a terceros países son muy estrictas y las transferencias de datos personales solo se permiten en determinados casos específicos.
En este contexto, todos los países fuera del área de la UE / EEE deben considerarse «terceros países». Como regla general, los datos personales no pueden ser transferidos a terceros países. Esto también se aplica al uso de un proveedor externo para procesar o almacenar datos, incluido el alojamiento de soluciones de denuncia.
Según el RGPD, la protección de los ciudadanos europeos también debe aplicarse cuando se transfieren datos personales a países fuera de la UE. Su organización solo puede exportar datos a terceros países si se cumplen los siguientes criterios:
Privacy Shield es una autocertificación en los Estados Unidos donde las empresas estadounidenses pueden demostrar el cumplimiento con ciertos requisitos. Anteriormente, la UE acordó que el marco del Escudo de la privacidad garantizaba un nivel adecuado de protección y proporcionaba una base válida para la transferencia de datos personales de la UE a los Estados Unidos.
Después de una revisión del acuerdo por parte del Tribunal de Justicia de la Unión Europea (ver Schrems II a continuación), se determinó que el Escudo de privacidad no ofrecía una protección legal adecuada contra los programas de vigilancia e inteligencia. Las leyes de los EE. UU. podrían permitir que ciertas autoridades de los EE. UU. solicitaran acceso a los datos personales de los ciudadanos de la UE.
Privacy Shield permitió a las empresas europeas utilizar los servicios en la nube sin tener en cuenta los datos personales que se recopilaron y almacenaron. Unas 5.000 empresas estadounidenses (incluida Facebook) también utilizaron el Escudo de privacidad para recibir datos personales de usuarios europeos.
Maximilian Schrems, un activista de protección de datos de Austria, no consideró aceptable que Facebook transfiriera sus datos personales a los Estados Unidos. Esto se debe a que las leyes estadounidenses no ofrecen suficiente protección contra las actividades de inteligencia. Schrems llevó su caso a la autoridad de protección de datos de Irlanda y, en julio de 2020, el Tribunal de Justicia de la Unión Europea dictaminó que el Acuerdo de protección de la privacidad UE-EE. UU. no brinda suficiente protección. La sentencia establece claramente que el reglamento general de protección de datos de la UE (GDPR) también debe aplicarse cuando los agentes comerciales transfieren datos personales fuera del área de la UE/EEE.
La sentencia Schrems II enfatiza que la protección de GDPR para las personas debe aplicarse a la transferencia de datos personales. Por lo tanto, está prohibido transferir datos a países con una protección de datos personales más baja que la que garantiza la UE. Las transferencias de datos solo son posibles cuando se han tomado las medidas de protección suficientes.
En junio de 2021, la Comisión Europea adoptó un nuevo conjunto de las llamadas «cláusulas contractuales estándar». Esto fue para mantener el mismo nivel de protección de la libertad personal y los derechos fundamentales que se aplica dentro de la UE, y para facilitar el cumplimiento de la sentencia Schrems II. Para cumplir con todos los requisitos para la transferencia segura de datos personales, es posible que estas cláusulas aún deban complementarse con medidas de protección adicionales. Esto es para que el controlador de datos personales de la organización decida caso por caso.
Las grandes empresas estadounidenses de servicios en la nube, como Microsoft (Azure y Microsoft 365), han asegurado a sus clientes que procesarán y almacenarán todos los datos dentro de la UE, cumpliendo así con el RGPD.
Además del proceso de creación de estructuras paralelas, no hay garantía de que estas empresas puedan eludir la legislación estadounidense. FISA – Ley de Vigilancia de Inteligencia Extranjera – es una ley federal que permite a las autoridades estadounidenses acceder a datos personales europeos incluso si los servidores de la empresa están ubicados físicamente en territorio de la UE.
Maximilian Schrems es el fundador de la organización sin fines de lucro ‘None of Your Business (Noyb)’. El objetivo de la organización es monitorear el cumplimiento del RGPD y otros procesamientos de datos que incumplan con la privacidad. Según él, las grandes empresas estadounidenses aún están sujetas a FISA y deben cumplir con las autoridades estadounidenses si así lo solicitan. La agencia sueca de protección de la privacidad IMY también ha abierto varias investigaciones después de que Noyb presentara denuncias contra empresas suecas.
Actualmente, no existe una solución única, fácil y completa para el procesamiento legal de datos personales en los EE. UU. o en cualquier otro país fuera de la UE. Al optar por utilizar las cláusulas contractuales estándar, el Controlador de datos aún debe determinar caso por caso si se requiere algún tipo de medida de seguridad adicional.
Se está trabajando para crear un ecosistema digital europeo y una nube de almacenamiento de datos, sin embargo, esto llevará tiempo. Actualmente, la mejor solución para las empresas europeas que procesan datos personales es elegir un proveedor europeo. Al hacer esto, se puede garantizar que todos los datos se almacenan en servidores dentro de la UE/EEE y que se cumplen todos los requisitos de acuerdo con el RGPD. Esto también se aplica si la transferencia es gestionada por un subcontratista.
Es extremadamente importante que tanto las empresas privadas como las organizaciones públicas sean conscientes del tipo de datos que recopilan y cómo los administran y almacenan. Debes saber en qué entorno se gestionan tus datos por el proveedor de servicios, ya que es posible que no tenga una base legal para procesar datos personales fuera de la UE/EEE. Al elegir un proveedor europeo para el alojamiento de tu solución de denuncia, es posible evitar el procesamiento de datos que no garantiza la privacidad de los usuarios. También es mucho más fácil cumplir con todos los requisitos del Reglamento General de Protección de Datos.
Cuando se trata de alojar nuestras soluciones de denuncia de irregularidades, Whistlelink tiene una larga relación con GleSYS. GleSYS es una empresa escandinava con centros de datos seguros y de última generación que cumplen con todos los requisitos legales. Con una certificación ISO 27001 en sistemas de gestión de seguridad de la información, GleSYS cumple con todos los requisitos de seguridad específicamente en lo que se refiere a confidencialidad, precisión y disponibilidad, así como las leyes aplicables.
Nuestra visión es proporcionar a todas las organizaciones el mejor sistema de denuncia de irregularidades, el más seguro y el más fácil de usar del mercado, y nos tomamos la seguridad de los datos muy en serio. Gracias a nuestra larga colaboración con GleSYS, podemos ofrecerle un servicio completo de denuncia de irregularidades en el que todos los datos confidenciales se almacenan en servidores europeos (suecos).
Quieres saber más sobre nuestro canal de denuncias interno seguro? Lee más acerca de la Directiva Whistleblowing aquí y en EUR-Lex.
Buscas un canal ético seguro? Lee más aquí.
Quieres hablar sobre un canal de denuncias seguro para tu organización?
Sí tienes algún comentario acerca de este artículo o te gustaría saber más sobre Whistlelink, nos encantaría que nos contactases.
Whistlelink values your privacy. We will only contact you about our solutions.
You may unsubscribe at any time. For more info, please review our Privacy Policy
Martes | 10:00 – 10:30
ENCATADOS DE CONOCERTE
ENCATADOS DE CONOCERTE
Whistlelink valora tu privacidad. Solo te contactaremos con información acerca de nuestras soluciones. Puedes darte de baja en cualquier momento. Para mas información, por favor revisa nuestra Política de Privacidad.
HAPPY TO MEET YOU!
Whistlelink values your privacy. We will only contact you about our solutions.
You may unsubscribe at any time. For more info, please review our Privacy Policy
