A la luz de la decisión del Tribunal de Justicia de la Unión Europea (el "TJUE" o el "Tribunal") en el caso "Schrems II", los controladores de datos de la UE están revisando los mecanismos de transferencia de datos en los que se basan para transferir datos personales de conformidad con el artículo 46 del Reglamento General de Protección de Datos ("RGPD"). Esta nota se emite para nuestros clientes controladores de datos de la UE para ayudarles en dicha revisión en lo que respecta a la transferencia de datos personales de la UE a Lotame en los EE.UU., y las transferencias posteriores por instrucciones de nuestros clientes controladores de datos de la UE a otras plataformas en países que no tienen una decisión de adecuación de la Comisión Europea.
La información que figura a continuación tiene por objeto:
TENGA EN CUENTA: La decisión Schrems II no tiene ningún efecto y no es necesario que Lotame o nuestros clientes tomen ninguna medida adicional a menos y en la medida en que los datos personales de la UE se transfieran realmente a Lotame en relación con la prestación de sus productos o servicios. Existen situaciones en las que la prestación de servicios por parte de Lotame no implica la transferencia de datos personales de la UE a Lotame o a terceros países. Cuando tal situación sea aplicable, se reflejará en el acuerdo de servicios aplicable. Si las transferencias del artículo 46 no son aplicables, no es necesario examinar más a fondo el impacto de Schrems II.
Lotame ha utilizado el Marco del Escudo de Privacidad EE.UU./UE para respaldar los flujos de datos personales procedentes de la Unión Europea y también ha celebrado Acuerdos de Protección de Datos ("APD") conformes con el RGPD con clientes para los que procesamos datos personales de interesados de la UE. Sin embargo, en virtud de la decisión del TJUE, los controladores de datos de la UE ya no pueden confiar en los compromisos del Escudo de Privacidad; como tal, las transferencias de datos personales desde la UE bajo el APD de Lotame ahora se rigen por los CEC aprobados por la Comisión. El APD estándar actual de Lotame establece que los CCE aplicables entran en vigor automáticamente al iniciarse una transferencia de datos personales de la UE a Lotame. Póngase en contacto con su gestor de cuenta para iniciar la ejecución de un APD de Lotame en caso de que su revisión sugiera que se requieren CEC pero aún no se han establecido.
Si bien Lotame ya no se basa en el Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU. como base legal para las transferencias internacionales de información personal de la UE/EEE y Suiza a los EE.UU., Lotame sigue estando certificada bajo los marcos del Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU. según lo establecido por el Departamento de Comercio de los EE.UU. con respecto a la recopilación, uso y retención de información personal transferida desde la UE/EEE, el Reino Unido y Suiza a los Estados Unidos.
Aunque el TJCE confirmó que las cláusulas tipo de protección de datos siguen siendo válidas, indicó que los responsables del tratamiento de datos que deseen basarse en las cláusulas tipo de protección de datos pueden estar obligados a llevar a cabo una diligencia debida adicional en relación con el sistema jurídico que rige el acceso a los datos personales por parte de las autoridades públicas en el país del importador de datos. En concreto, el Tribunal dijo que los exportadores de datos europeos pueden estar obligados a verificar "si la legislación del tercer país de destino garantiza una protección adecuada, con arreglo al Derecho de la UE, de los datos personales transferidos en virtud de las cláusulas tipo de protección de datos, proporcionando, en caso necesario, garantías adicionales a las ofrecidas por dichas cláusulas".
El TJUE examinó las cuestiones derivadas de la preocupación de que las agencias de inteligencia estadounidenses pudieran acceder a los datos transferidos en virtud de dos fuentes de la legislación estadounidense: La Orden Ejecutiva 12333 ("OE 12333") y la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera ("FISA 702").
La OE 12333 es una directiva general que organiza las actividades de inteligencia de Estados Unidos. En particular, autoriza a las agencias de inteligencia estadounidenses a recopilar información extranjera de "inteligencia de señales", es decir, información recogida a partir de comunicaciones y otros datos transmitidos o accesibles por radio, cable y otros medios electromagnéticos. Lo que es importante señalar es que la OE 12333 no incluye, en sí misma, ninguna autorización para obligar a empresas privadas a revelar datos.
FISA 702 es un estatuto que establece un proceso judicial que autoriza un tipo específico de adquisición de datos. A diferencia de la OE 12333, en virtud de la FISA 702, un tribunal independiente puede autorizar al Gobierno a emitir órdenes que obliguen a los proveedores de servicios de comunicaciones electrónicas ("ECSP") de Estados Unidos a revelar datos de comunicaciones de determinadas personas no estadounidenses situadas fuera de Estados Unidos para obtener tipos específicos de información de inteligencia extranjera.
Con respecto a FISA 702, el TJCE identificó dos programas de vigilancia del gobierno de EE.UU. - "PRISM" (ahora "DOWNSTREAM") y "UPSTREAM"- que, en su opinión, "exceden de lo necesario en una sociedad democrática para fines de seguridad nacional" y socavan desproporcionadamente los derechos fundamentales a la intimidad de los interesados de la UE. En la medida en que un flujo de datos concreto sea susceptible de ser vigilado por el gobierno estadounidense en virtud de cualquiera de estos programas, el TJCE concluyó que los responsables del tratamiento pueden tener que adoptar "medidas suplementarias" para garantizar el nivel de protección exigido por la legislación de la UE.
Basándose en una cuidadosa revisión, Lotame ha determinado que ni la OE 12333 ni los programas bajo la FISA 702 suponen un riesgo material de acceso gubernamental a los datos personales transferidos y procesados por Lotame por o en nombre de clientes que transfieren datos personales de interesados europeos.
En primer lugar, como ya se ha señalado, la OE 12333 no incluye, en sí misma, ninguna autorización para obligar a empresas privadas como Lotame a revelar datos personales a las agencias de inteligencia estadounidenses. Cualquier exigencia de que una empresa de Estados Unidos revele datos al Gobierno con fines de inteligencia debe estar autorizada por ley y debe dirigirse a personas o identificadores específicos, como a través de órdenes FISA 702: la recopilación masiva está expresamente prohibida.
En segundo lugar, al igual que la mayoría de las empresas tecnológicas estadounidenses que ofrecen servicios basados en la nube, Lotame podría ser considerada un ECSP y, por tanto, estar sujeta a la FISA 702. Sin embargo, Lotame no maneja ningún dato personal que pudiera ser de interés para las agencias de inteligencia estadounidenses. Los compromisos del gobierno y las políticas públicas de EE.UU. restringen la recopilación de información a lo necesario para fines de inteligencia exterior y prohíben expresamente la recopilación de información con el fin de obtener una ventaja comercial. Los Comportamientos que Lotame obtiene de sus Clientes Comerciales y Socios de Datos son información comercial ordinaria utilizada para ayudar en la Publicidad a Medida y la Personalización de Contenidos y es poco probable que esos Comportamientos sean de algún interés o valor para las agencias de inteligencia estadounidenses. Por último, Lotame no opera ninguna parte de la columna vertebral de las telecomunicaciones de EE.UU. y la infraestructura de Internet por lo que sería poco probable que Lotame sea objeto de una orden de recopilación de datos UPSTREAM.
El Sistema de Gestión de Seguridad de la Información de Lotame cuenta con la certificación ISO/IEC27001:2013 y, como tal, Lotame proporciona sólidas salvaguardas para la información personal transferida a EE. UU. en relación con sus servicios. Por ejemplo:
En consonancia con nuestro compromiso con la Privacidad por Diseño, Lotame continuará revisando y perfeccionando sus políticas y procedimientos para maximizar la privacidad personal y la seguridad de los datos personales recogidos y transmitidos desde Europa y todas las demás jurisdicciones en las que hacemos negocios.
Lotame se compromete a cumplir con la legislación aplicable y las mejores prácticas para salvaguardar la privacidad de los consumidores y mantener la confidencialidad e integridad de los datos de nuestros clientes, y permanecemos atentos a las oportunidades para mejorar la seguridad de los datos personales de acuerdo con Privacy by Design and Default.