La Sentencia Schrems 2 y cómo afecta a los sistemas de denuncia
Desde hace un tiempo nos han estado llegando consultas relativas a Schrems 2 y cómo dicha sentencia va a afectar a los sistemas de denuncias. Dado el compromiso contraído por WhistleB en materia de seguridad de datos, en este artículo trataremos de responder a algunas de las cuestiones fundamentales que rodean el asunto Schrems II, poniendo especial atención en el ámbito de las denuncias.
Pero ¿qué es Schrems 2?
Schrems 2 es una sentencia del Tribunal de Justicia de la Unión Europea (en adelante, TJUE), según la cual el Escudo de Privacidad UE-EE. UU. ha dejado de ser un mecanismo suficiente para garantizar el cumplimiento de los requisitos exigidos por la UE en materia de protección de datos. La sentencia se publicó en julio de 2020. Desde ese momento, el TJUE invalidó el marco del Escudo de Privacidad UE-EE. UU. como mecanismo de transferencia para la exportación de datos personales a los Estados Unidos sobre la base de que las supuestas garantías de protección que ofrece dicho escudo no cumplen con los estándares europeos.
¿Cómo afecta este asunto al ámbito de las denuncias?
Dependiendo de su ubicación, estructura y del proveedor de soluciones de denuncias contratado, determinadas organizaciones podrían tener que transferir algunos datos de sus denuncias de la UE a EE. UU., o viceversa.
¿Qué aspectos de las legislaciones estadounidense y europea resultan relevantes al caso?
El RGPD de la UE restringe la transferencia de datos personales fuera de sus fronteras hacia países que no puedan garantizar una adecuada protección de la información, salvo que se aplique una excepción o se adopte y apruebe un mecanismo alternativo a emplear.
Hasta ahora, las Cláusulas Contractuales Tipo (CCT) y el Escudo de Privacidad (para transferencias hacia EE. UU.) han sido los mecanismos usados de forma habitual para asegurar la protección de los datos personales transferidos.
Bajo el amparo de la Ley de la Nube (Cloud Act) de 2018, las distintas agencias del gobierno estadounidense pueden pedir a cualquier tribunal de su país que emita una orden en la que se exija a aquellos proveedores sujetos a la normativa de EE. UU. que les cedan la información almacenada de sus clientes, incluso si los datos están almacenados fuera de los EE. UU. (incluidos los países miembros de la UE).
¿Cuál es el punto de vista de WhistleB?
Como proveedor de servicios en la nube con base en la UE, WhistleB está sujeta a y cumple plenamente con el RGPD europeo.
La seguridad ha sido siempre esencial para todo cuanto hacemos en WhistleB; así protegemos los datos tanto de los denunciantes como de nuestros clientes. Desde el principio, hemos diseñado a conciencia un sistema de seguridad líder en el mercado para nuestra solución de denuncias, y también hemos seleccionado a los proveedores de servicios informáticos más seguros.
La seguridad de la información y el cumplimiento de toda normativa vigente son y siempre serán pilares fundamentales del sistema de denuncias WhistleB. Para conocer más detalles sobre este tema, entra en nuestro Trust Centre.
¿Cómo y dónde almacena WhistleB tus datos?
WhistleB ha seleccionado a Microsoft Azure, líder del mercado en su campo, como proveedor seguro de servicios de hospedaje de datos para almacenar la información de sus clientes. Microsoft Azure es líder del sector en términos de seguridad de la información, seguridad informática y protección de datos.
Todos los datos de nuestros clientes se almacenan y procesan dentro del territorio de la Unión Europea. Contamos con un centro de datos primario en Irlanda y otro secundario en los Países Bajos. No obstante, la empresa matriz de Microsoft Azure es Microsoft Corporation, una sociedad estadounidense y, por tanto, potencialmente supeditada al cumplimiento de la Ley Nube.
¿Cómo gestiona el sistema WhistleB la cesión de datos?
WhistleB se ciñe al cumplimiento estricto del RGPD y de la Directiva Europea de Protección al Denunciante. Cualquier solicitud de divulgación o cesión de datos generaría un riesgo real con el que infringiríamos una o ambas normas. WhistleB no puede ceder los datos de sus clientes a nadie.
Además, los datos de los clientes WhistleB están protegidos contra toda posible divulgación por medio de una tecnología de cifrado moderna y segura que blinda el sistema de denuncias. Esta tecnología de cifrado garantiza que los datos estén accesibles únicamente para el cliente, nunca para WhistleB, un proveedor, una autoridad o cualquier otro tercero. El cliente de WhistleB tiene control total y exclusivo de la clave de cifrado. Solo el cliente puede desencriptar información y dar acceso a sus datos a quien desee.
¿Cómo afecta Schrems 2 al cumplimiento del RGPD por parte de WhistleB?
La anulación del marco establecido por el Escudo de Privacidad UE-EE. UU. no afecta al cumplimiento del RGPD por parte del sistema WhistleB. WhistleB y Microsoft Azure Irlanda no transfieren datos a EE. UU. ni a otras terceras partes fuera de la UE. Sin embargo, el cliente podría decidir dar acceso a su herramienta de gestión de casos a terceros de cualquier país fuera del territorio UE. Es el propio cliente quien supervisa la seguridad de la información y garantiza las restricciones en el acceso de los usuarios a los datos de cliente.
La posición de WhistleB al respecto es clara: Microsoft Azure ofrece garantías suficientes de que las normas del RGPD sobre transferencia de datos personales a terceros países se respetarán mediante las Cláusulas Contractuales Tipo. En consecuencia, WhistleB respalda estas garantías.
¿Y ahora qué? ¿Cuáles serán los próximos pasos a seguir?
La seguridad de la información y el cumplimiento de toda normativa vigente son y siempre serán aspectos fundamentales del sistema de denuncias WhistleB. Por tanto, seguiremos vigilando muy de cerca la situación actual y esta falta de acuerdo entre la UE y los Estados Unidos.
¿Cómo puedo obtener más información sobre este tema?
Si deseas tratar con mayor profundidad la sentencia Schrems 2 y cómo afecta a los sistemas de denuncia, no dudes en contactar con nosotros.
Contacto:
Gunilla Hadders, directora de WhistleB, Whistleblowing Centre
+46 70 214 88 73, gunilla.hadders@whistleb.com
