¿Los usuarios de Cloud deben temer a un Brexit ‘sin acuerdo’?
Los expertos políticos predicen un Brexit sin acuerdo, lo que significaría que el Reino Unido abandona la Unión Europea sin ningún acuerdo sobre la futura relación entre la UE y el Reino Unido. La cobertura por parte de los medios sobre este tema, como este artículo reciente de Forbes, ha causado algunas incertidumbres a los proveedores de servicios en la nube (CSP) y a los usuarios, que ahora están preocupados por la forma en que sus clientes en el Reino Unido pueden acceder a servicios y datos en la nube basados en el UE (Unión Europea).
¿Qué preocupa a los usuarios de la nube?
¿Un Brexit sin acuerdo significa que el GDPR (Reglamento general de protección de datos) ya no se aplicará al Reino Unido?
Mi CSP tiene un servidor en la UE. ¿Podré acceder a él aquí en el Reino Unido?
Mi CSP tiene un servidor en el Reino Unido. ¿Podré seguir accediendo aquí en la UE?
Si el Reino Unido se convierte en un «tercer país», ¿el GDPR me dificultará el acceso a mis datos de la nube de la UE desde el Reino Unido?
¿Qué les puede preocupar a las compañías de la nube?
¿Debemos obtener las Reglas corporativas vinculantes (BCR) aprobadas por los reguladores de protección de datos para proteger a nuestra organización de estas dificultades?
Si nuestra organización trabaja para obtener BCR, ¿cuánto tiempo retrasarán las autoridades en aprobarlas y hacer que los datos en la UE sean accesibles para nuestros usuarios de la nube?
¿Son las cláusulas contractuales estándar (SCC) suficientes para que los datos de nuestro centro de datos del Reino Unido sean accesibles para nuestros usuarios de la nube en la UE?
¿Deben ubicarse los datos de clientes del Reino Unido en el Reino Unido y los datos de los clientes de la UE en la UE?
¿Por qué no hay que preocuparse?
Las preocupaciones de estos dos grupos (CSPs y usuarios de la nube) están relacionadas con la transferencia de datos desde y hacia el Reino Unido. Esta transferencia puede ocurrir a través de uno de los siguientes mecanismos:
Adecuación
Cláusulas contractuales estándar
Reglas corporativas vinculantes (BCR)
La siguiente tabla resume cómo puede ocurrir la transferencia a través de cada uno de estos mecanismos:
|
Proceso de transferencia. |
Descripción del proceso. |
DEL REINO UNIDO A LA UE. |
DE UE A REINO UNIDO. |
|
ADECUACIÓN |
Bajo el GDPR, la Comisión Europea declaró que algunos países eran adecuados, es decir, tienen estándares de protección de datos equivalentes a los estándares de GDPR. La transferencia a estos países no requerirá ningún procedimiento adicional. |
El gobierno del Reino Unido. En una de sus declaraciones oficiales (aquí), ha anunciado que reconocerá a todos los países e instituciones del UE como un nivel adecuado de protección. Esto significa que las transferencias desde el Reino Unido a UE no serán un problema. |
La UE aún no ha tomado ninguna decisión formal de adecuación al Reino Unido. Por lo tanto, no podemos confiar en este proceso y tendremos que buscar otros procesos de transferencia.
|
|
Cláusulas contractuales estándar (SCC) |
Las cláusulas contractuales estándar son uno de los varios mecanismos aprobados por la Comisión Europea para garantizar las garantías adecuadas para los datos personales transferidos desde la UE a los países que la Comisión Europea ha encontrado que no ofrecen una protección adecuada para los datos personales. |
No es necesario utilizar SCC ya que se reconoce que el UE es adecuado.
|
El gobierno del Reino Unido tiene la intención de conservar los SCC emitidos por la Comisión Europea. Esto significa que las entidades que usan SCC como base para la transferencia pueden seguir haciéndolo y un Brexit sin acuerdo no los afectará. |
|
Reglas corporativas vinculantes (BCR) |
Las Reglas corporativas vinculantes son políticas de protección de datos personales adheridas por grupo de Compromisos con el fin de proporcionar garantías adecuadas para la transferencia de datos personales dentro del grupo, incluso fuera del UE. Estos BCR deben ser aprobados por el Consejo Europeo de Protección de Datos (EDPB). |
No es necesario utilizar BCR ya que EU se reconoce como adecuada. |
Los BCR existentes reconocidos por el ICO (Oficina del Comisionado de Información) seguirán siendo válidos. |
El Comité europeo de protección de datos (EDPB) ha afirmado que las empresas pueden usar cláusulas contractuales estándar según la ley de protección de datos existente para transferir datos entre la UE y el Reino Unido. Esto es lo que dicen sus comunicados oficiales.
Por otra parte el gobierno del Reino Unido ha declarado que conservara la política de GDPR.
¿Qué debo hacer ahora como usuario de la nube?
Si tu CSP tiene un centro de datos en el Reino Unido y tus datos residen allí, firme un Anexo de Procesamiento de Datos (DPA) con su CSP que tenga SCC.
¿Qué debo hacer ahora como CSP?
Para las transferencias entre tus entidades, tenga un acuerdo entre compañías que incorpore SCC. De lo contrario, procure que BCR sea aprobado por la Comisión Europea.
La posición de los Estados Unidos.
Si tiene centros de datos fuera de la UE y el Reino Unido, por ejemplo, en los EE. UU., ¿Se verá afectado por un «Brexit no comercial»?
La respuesta es un claro «No». La UE ha declarado que los EE. UU. Son adecuados según el Escudo de privacidad UE – EE.UU. Por lo tanto, como se indica en la tabla anterior, el Reino Unido reconocerá de manera transitoria que los Estados Unidos son adecuados y los Estados Unidos reconocerán las transferencias del Reino Unido a los Estados Unidos como adecuadas. El Departamento de Comercio de los EE. UU. Ha anunciado en su sitio web oficial que los participantes del escudo de privacidad deben actualizar su compromiso de incluir el Reino Unido. Esto significa que las transferencias de EE. UU. Al Reino Unido tampoco se verán afectadas.
La posición de zoho
Se puede abordar cuatro posibles casos de uso:
-
Usuarios de www.zoho.com basados en el EEE.
-
Usuarios de www.zoho.eu basados en el EEE.
-
Usuarios de www.zoho.com en el Reino Unido.
-
Usuarios de www.zoho.eu con sede en el Reino Unido.
Zoho no almacena ningún dato en el Reino Unido. Los centros de datos www.zoho.com están en los Estados Unidos y nuestros centros de datos www.zoho.eu están en la UE.
El Brexit no tiene ningún impacto en el caso número 1 ya que los mecanismos de transferencia existentes (Privacy Shield y SCC) continuarán aplicándose.
Tampoco hay impacto en el caso 2, ya que los centros de datos están en la UE.
Para abordar el caso de uso 3, Zoho actualizara los protocolos de Privacy Sheild para incluir el Reino Unido como lo requiere el Departamento de Comercio de los EE. UU. En el sitio web de Privacy Shield.
El ICO ha declarado que las transferencias al UE no se restringirán, por lo que el caso de uso 4 no se verá afectado.
Desde SAGITAZ Corp queremos transmitirte la confianza de que si tu empresa trabaja desde el Reino Unido o tiene relaciones con clientes del Reino Unido, no tienes por qué preocuparte por un brexit sin acuerdo, ya que ZOHO cumple con todas las normativas y los protocolos para que puedas seguir creciendo y conseguir tus objetivos.
Somos los mayores implantadores de ZOHO en habla hispana, queremos acompañarte en tu día a día para que consigas tus objetivos. Haz clic en el botón para hablar de lo que realmente importa, tu negocio.
La información obtenida para la realización de este post se ha obtenido a través de las declaraciones de los diferentes organismos públicos que intervienen en el brexit.
Declaraciones de Comité europeo de protección de datos (EDPB)
Declaraciones del gobierno del Reino Unido
Articulo de Forbes sobre un Brexit no comercial
La información presentada en este documento no debe tomarse como asesoramiento legal. Recomendamos que busques asesoramiento legal sobre lo que debes hacer para cumplir con los requisitos de la GDPR.
