Aunque pueda parecer un asunto técnico ajeno a lo que cualquier empresa debería de tener en cuenta, forma parte de las obligaciones con las que en el Reglamento General de Protección de Datos (RGPD) pretenden proteger esa información personal.

En el mes de julio de este año 2020 el Tribunal de Justicia de la Unión Europea dictó una sentencia en la que invalidó el acuerdo denominado Privacy Shield que regulaba esa transferencia de datos entre los países europeos y Estados Unidos. Esto fue debido a que en ese país existe una ley que permite al gobierno estadounidense acceder a todos los datos personales que guarden las empresas si se ve amenazada la seguridad nacional.

Por lo tanto, si hasta el momento no se ha planteado qué está sucediendo con los datos personales que se manejan en su empresa, debería de preguntarse si en algún momento esa información es enviada a servidores que se encuentran en Estados Unidos.

Incumplimiento del RGPD y sanciones económicas

Con la intención de proteger los datos personales que manejan las empresas, ya sean de sus clientes, de quienes contactan para realizar consultas, o de quienes les envían sus datos profesionales para solicitar trabajo, el Reglamento General de Protección de Datos obliga a que se informe de la utilización de los datos, a que se empleen medidas de seguridad adecuadas, o a que se informe y pida consentimiento para el envío de comunicados comerciales.

Pues bien, una parte fundamental de este reglamento hace referencia al lugar donde se almacenan esos datos personales, y que como hemos visto, desde el pasado verano no se estaría cumpliendo con el RGPD si se están utilizando servidores situados en Estados Unidos.

Tenemos que recordar que la ley contempla sanciones de hasta 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la empresa infractora.

Soluciones para el almacenamiento de datos, para cumplir con la RGPD

Aunque no siempre va a resultar fácil, la opción más segura para cumplir con la RGPD en materia de transferencia de datos, es que se utilicen servidores situados en España o en cualquier otro país europeo donde va a estar en vigor este reglamento.

De hecho, algunas de las grandes empresas de Internet como Google, Amazon o Apple han trasladado la información que procede de países europeos a países de la Unión Europea.

Si lo anterior no fuese posible, y no le quedase más remedio a su empresa que mantener los datos en Estados Unidos debería de contactar con las empresas que le estén ofreciendo servicio en ese país para firmar unas cláusulas contractuales en las que quienes vayan a manejar los datos personales se comprometen a respetar la normativa de la RGPD.

Ahora bien, esas cláusulas no pueden ser compromisos vacíos sin una materialización que confirme que se está respetando la normativa europea. Así que es responsabilidad de las empresas que deciden mantener sus servidores en Estados Unidos, o en cualquier caso guardar datos personales en ese país, revisar que el nivel de protección que tienen esos datos personales es realmente el adecuado.

Para más información sobre la protección de datos:

Comité Europeo de Protección de Datos

Agencia Española de Protección de Datos