4 peligros de las transferencias internacionales de datos

En este post, te contamos qué son las transferencias internacionales de datos y los riesgos que existen al hacerlas.

• Las transferencias internacionales de datos se realizan entre países de la UE y países que no pertenecen al Espacio Económico Europeo.
• Entre los riesgos asociados destacan la garantía de privacidad del usuario y la pérdida de reputación empresarial ante posibles brechas de seguridad.

Es una realidad que el mundo está más interconectado que nunca. Para cualquier organización que opere a escala global, cada una de las transferencias internacionales de datos es un elemento esencial de las operaciones comerciales diarias. Las empresas pueden, por ejemplo, almacenar los datos personales de los clientes en un servicio en la nube alojado en el extranjero. Pero también pueden hacer lo mismo con los datos personales de sus empleados. ¿En qué medida afecta la transferencia internacional de datos a la protección de este tipo de información?

Para poder cumplir con sus actividades diarias, las instituciones y organismos de la Unión Europea (UE) necesitan transferir datos personales a destinatarios fuera de la UE. Estas actividades pueden incluir contacto con entidades públicas extranjeras como cuando se realizan investigaciones antifraude o de competencia. También es posible que se necesite subcontratar servicios a proveedores externos ubicados fuera de la UE o almacenar o procesar datos en servidores externos.

Para cumplir con sus actividades diarias las instituciones de la UE necesitan transferir datos fuera de su ámbito de actuación.

El Reglamento UE 2018/1725 regula las llamadas transferencias internacionales de datos. ¿A qué nos referimos cuando hablamos de ellas? A aquellas que se realizan entre instituciones y órganos de la Unión Europea (UE) a países que no son miembros del Espacio Económico Europeo (EEE), es decir, los Estados miembros de la UE más Noruega, Islandia y Liechtenstein.

Requisitos para realizar transferencias internacionales de datos

Teniendo en cuenta que se trata de datos personales, las transferencias pueden realizarse cuando existe un nivel adecuado de protección al derecho fundamental de las personas a la protección de datos.  Las evaluaciones de adecuación pueden ser realizadas por aquellos que deseen transferir datos fuera del EEE o por la Comisión Europea.

En ese sentido, la Comisión ha determinado que varios países aseguran un nivel adecuado de protección en razón de su derecho interno o de los compromisos internacionales que han contraído.

Hasta el momento, algunos países que han sido reconocidos por tener un nivel adecuado de protección de datos son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza, Uruguay y Estados Unidos. Si no se cumplen los requisitos establecidos por la Comisión Europea, las empresas deben utilizar otros métodos para garantizar un nivel adecuado de protección.

Hasta la fecha, la Comisión Europea ha reconocido a algunos países externos al EEE por tener un nivel adecuado de protección de datos.

Si no se está dentro del grupo de países, los datos personales podrían transferirse desde una institución de la UE a países de fuera del EEE, pero bajo unas determinadas condiciones. Una de ellas es que la organización que desea transferir datos fuera del EEE proporcione las garantías adecuadas para hacerlo adoptando las cláusulas contractuales estándar de la Comisión. Por otro lado, la organización que desee transferir los datos fuera del EEE podría acogerse a alguna de las excepciones del RGPD. Un ejemplo sería el caso de que una persona que dé su consentimiento para que sus datos sean transferidos. O cuando esa transferencia de datos deba realizarse para terminar de formalizar un contrato.

Riesgos de las transferencias internacionales de datos

1. Protección de información

Cuando se produce una transferencia de datos, ya sea internacional o no, existe el riesgo asociado a la protección de la información. Para evitarlo se deberán identificar antes las posibles brechas de seguridad que puedan afectar a los datos poniendo especial interés en su integridad, disponibilidad y confidencialidad.

En este sentido, para evitar los riesgos se deberán aplicar las medidas técnicas y organizativas apropiadas que garanticen el nivel de seguridad adecuado. Dichas medidas de seguridad tendrán que garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento. En caso de incidente técnico o físico, se tendrá que asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida.

2. Cumplir con los derechos y libertades del usuario

Otro de los riesgos asociados a las transferencias internacionales de datos tiene que ver con el cumplimiento de los requisitos que se hayan establecido y que están relacionados con los derechos y libertades del usuario.  Lo importante en este caso es identificar este tipo de riesgos para evitarlos. Además, se deberá disminuir el nivel de exposición del riesgo para reducir el impacto. En este sentido se tiene que garantizar en todo momento al usuario poder acceder a sus datos personales para ejercer su derecho a rectificación o a información de los mismos.

3. Pérdida de reputación

Aparte de los riesgos anteriores, las empresas que transfieran de manera internacional datos también pueden verse perjudicadas a nivel de reputación. Esto va asociado a las posibles brechas de seguridad que pueden producirse al realizar la transferencia de la información.

4. Riesgos de privacidad

La privacidad del afectado ha de garantizarse en todo momento cuando se tratan datos personales. Así, una de las principales garantías que debe cumplir la empresa es la privacidad de los datos con los que está tratando. Para garantizarla se debe poner en marcha un protocolo de anonimización de datos y evitar recabar información que no sea necesaria.

En definitiva, pese a los riesgos que existen en las transferencias internacionales de datos, contar con una buena estrategia a nivel de protección de datos garantiza la seguridad de este tipo de tratamientos.