logo main
  • Es
    English
    Portuguese
    Spanish
    • Iniciar sesiónPrueba gratuita

    EVALUACIÓN DE IMPACTO DE LA TRANSFERENCIA DE DATOS DE ALBATO

    SERVICIOS DE ALBATO

    Albato Limited, Chipre, HE 420916, correo electrónico: cyprus@albato.com (“Albato”, “nosotros”, “Procesador”), ofrece una suscripción a su producto/servicio de Software como Servicio (SaaS), que es una solución sin código para la automatización de su (“usted”, “Cliente”, “Responsable”) flujo de trabajo mediante la integración de diferentes aplicaciones. Ofrecemos suscripciones estándar y personalizadas, así como servicios de suscripción integrados. PROCESADOR DE DATOS Al prestar nuestros servicios, actuamos como Procesador para nuestros clientes. El Cliente actúa como Responsable, quien determina los fines y medios del tratamiento de datos personales, así como los tipos de datos personales.

    DATOS PERSONALES TRATADOS

    Los datos personales que tratamos pueden incluir nombre, nombre de la empresa, correo electrónico, número de teléfono y otros datos que puedan ser solicitados por el Responsable, incluso mediante el uso de la interfaz de Albato para cargar datos personales, y pueden variar según el caso de uso concreto del cliente. Los datos personales cargados por un cliente pueden incluir datos propios del cliente, así como los de sus clientes, usuarios finales, empleados, proveedores, etc. El Cliente es el único responsable de que los datos personales relevantes que cargue y/o procese a través de Albato se carguen de manera legal y de que tenga una base legal para procesarlos.

    EVALUACIÓN GENERAL

    Tenga en cuenta que este documento de evaluación contiene reglas generales aplicables a todos nuestros clientes, pero cada caso de uso específico del cliente también debe ser evaluado por el cliente por su cuenta, incluyendo el uso de asesoramiento legal, ya que la evaluación depende del contexto de los datos personales involucrados y los tipos de tratamiento.

    NORMAS DE TRANSFERENCIA INTERNACIONAL DEL GDPR. SENTENCIA SCHREMS II.

    El GDPR establece en su artículo 45 que una transferencia de datos personales a un tercer país o una organización internacional puede tener lugar cuando la Comisión haya decidido que el tercer país, un territorio o uno o más sectores específicos dentro de ese tercer país, o la organización internacional en cuestión, garantizan un nivel adecuado de protección. Dicha transferencia no requerirá ninguna autorización específica, según lo dispuesto en el artículo 45(1) del GDPR y el considerando 103 del Reglamento (UE) 2016/679. El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) emitió su fallo en el caso “Schrems II”. En esa sentencia, el TJUE invalidó el marco del Escudo de Privacidad UE-EE.UU. como mecanismo para transferencias legales de datos personales desde la UE a los EE.UU. Por lo tanto, la transferencia de datos personales desde la UE a los EE.UU. ya no se regía por el artículo 45 del GDPR. Tras la sentencia Schrems II y las recomendaciones 01/2020 del Consejo Europeo de Protección de Datos sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE, se elaboraron y recomendaron los siguientes seis pasos para la evaluación de impacto de transferencia:

    Paso 1: Identificar las transferencias internacionales de datos. Paso 2: Identificar el/los mecanismo(s) de transferencia de datos. Paso 3: Evaluar las leyes o prácticas de los terceros países. Paso 4: Adoptar medidas complementarias. Paso 5: Adoptar los pasos procedimentales necesarios. Paso 6: Reevaluar.

    Además, tras la sentencia Schrems II, la Comisión Europea entabló conversaciones con el gobierno de los EE.UU. con miras a una posible nueva decisión de adecuación que cumpliera con los requisitos del artículo 45(2) del Reglamento (UE) 2016/679, según la interpretación del Tribunal de Justicia.

    EL MARCO DE PRIVACIDAD DE DATOS UE-EE.UU. (DPF)

    El Marco de Privacidad de Datos UE-EE.UU. (o “DPF”) se basa en un sistema de certificación mediante el cual las organizaciones estadounidenses se comprometen a un conjunto de principios de privacidad: los ‘Principios del Marco de Privacidad de Datos UE-EE.UU.’. Para ser elegible para la certificación bajo el DPF, una organización debe estar sujeta a los poderes de investigación y ejecución de la Comisión Federal de Comercio de los EE.UU. (FTC) o del Departamento de Transporte de los EE.UU. (DoT). Las organizaciones del DPF deben recertificar su adhesión a los Principios anualmente. Tras la decisión Schrems II y como resultado de las discusiones con la Comisión Europea, los Estados Unidos adoptaron el 7 de octubre de 2022 la Orden Ejecutiva 14086 ‘Mejora de las Salvaguardias para las Actividades de Inteligencia de Señales de los EE.UU.’ (EO 14086), que se complementa con un Reglamento sobre el Tribunal de Revisión de Protección de Datos emitido por el Fiscal General de los EE.UU. (Reglamento AG). Además, el DPF ha sido actualizado. La Comisión Europea ha analizado cuidadosamente la legislación y práctica de los EE.UU., incluyendo la EO 14086 y el Reglamento AG. Con base en los hallazgos, la Comisión concluyó que los Estados Unidos garantizan un nivel adecuado de protección para los datos personales transferidos bajo el DPF desde un responsable o procesador en la Unión a organizaciones certificadas en los Estados Unidos. Esto se estableció en la Decisión de Ejecución de la Comisión del 10.07.2023, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de datos personales bajo el Marco de Privacidad de Datos UE-EE.UU.

    Esta Decisión tiene el efecto de que las transferencias de datos personales desde responsables y procesadores en la Unión a organizaciones certificadas en los Estados Unidos pueden tener lugar bajo el GDPR sin necesidad de obtener ninguna autorización adicional.

    TRANSFERENCIA INTERNACIONAL DE DATOS DE ALBATO

    Albato realiza transferencias internacionales de los datos personales indicados en la Sección 3 anterior, y la lista y el volumen de datos se determinan en función de las instrucciones del cliente. La transferencia se realiza, según corresponda, en base al Acuerdo de Protección de Datos relevante y las Cláusulas Contractuales Estándar. Dado que Albato está alojado en Amazon Web Services, y la ubicación del almacenamiento está en los EE.UU., el análisis de la legislación actual de los EE.UU. se realiza, entre otros, de conformidad con la Decisión de Ejecución de la Comisión del 10.07.2023. Además de los acuerdos legales, Albato también adopta medidas técnicas y organizativas actualizadas para garantizar la seguridad de los datos personales.

    La transferencia internacional de datos solo se realiza al único tercero: Amazon Web Services, Inc., que está certificado bajo el Marco de Privacidad de Datos UE-EE.UU..