MAILCHIMP, WETRANSFER, DROPBOX, GOOGLE FOR WORKS, ONEDRIVE: Uso de aplicaciones o de herramientas online para tratamiento de datos personales

La gran variedad de aplicaciones y herramientas informáticas desarrolladas por los diferentes operadores y prestadores de servicios de la sociedad de la información permite que las empresas, entidades u profesionales, potencien su uso al descubrir las ventajas que ofrecen ante necesidades cotidianas como, por ejemplo, el envío de correos electrónicos a un amplio listado de clientes y proveedores, el intercambio o el compartir archivos pesados, el acceso a los recursos de la empresa a distancia, etc.

Herramientas como Mailchimp, WeTransfer, Dropbox, Google for Works, OneDrive, y un largo listado de aplicaciones similares, nos facilitan la gestión de nuestra empresa o actividad profesional, pero su uso no está exento de cumplimiento de la normativa en materia de protección de datos y, en su caso, comercio electrónico.

Es por ello por lo que es importante asegurarnos de que cumplimos con todas las obligaciones derivadas de la normativa y, en particular, en aquellos casos en los que el tratamiento de los datos de nuestra empresa se realice en servidores ubicados en países no pertenecientes a la Unión Europea, ya que nos encontraríamos ante una transferencia internacional de datos.

Éstas son las medidas que debes tomar para poder utilizar este tipo de herramientas sin incumplir con la normativa vigente:

  • Lee atentamente los Términos y Condiciones de Uso y las Políticas de Privacidad y de Cookies de la herramienta o aplicación antes de empezar a utilizarla.
  • Asegúrate de que la empresa, y los servidores donde se tratarán los datos, están ubicados en la Unión Europea o en un país con un nivel adecuado de protección. Consulta el listado de países con nivel adecuado de protección aquí.
  • En caso de que se encuentren en EEUU, la empresa deberá estar certificada en el marco del acuerdo de Privacy Shield (Escudo de Privacidad). Consulta si la empresa se encuentra en el listado aquí.
  • Si nos encontramos con empresas que no se encuentran en ninguno de los supuestos anteriores, habrás de solicitar autorización a la Directora de la de la Agencia Española de Protección de Datos, salvo que el tratamiento de datos esté incluido en alguna de las excepciones previstas por el art. 34 LOPD.
  • Notifica al Registro General de Protección de Datos la transferencia internacional para los ficheros declarados y cuyos datos sean objeto de transferencia internacional de datos.
  • Añade a las cláusulas informativas y de legitimación la información acerca de la transferencia internacional de datos.
  • En caso de que el tratamiento sea consecuencia de una prestación de servicios, firma el contrato de encargo de tratamiento (art. 12 LOPD) con el prestador de la aplicación o herramienta.

Recuerda que existen alternativas a estas aplicaciones que no suponen la realización de trasferencias internacionales de datos y que, por tanto, no requieren del cumplimiento de las medidas relativas a las mismas, herramientas gestionadas por prestadores de servicios ubicados en la UE o España y que ofrecen las garantías debidas con respecto al tratamiento de datos personales.

Si, además, vas a realizar el envío de comunicaciones por correo electrónico tendrás que asegurarte de cumplir con las obligaciones establecidas por la LSSI.

  • Asegúrate de contar con el consentimiento expreso de los receptores de las comunicaciones comerciales (art. 21 LSSI). Podrás enviar comunicaciones comerciales por vía electrónica a los clientes de tu empresa siempre y cuando se trate de comunicaciones referentes a productos o servicios prestados por tu empresa y que sean similares a los que tenga contratados el cliente; en caso de querer ofrecer información acerca de otros productos o de productos de terceros, tendrás que contar con el consentimiento expreso de tu cliente.
  • Identifícate correctamente en el cuerpo del correo electrónico indicando el nombre de tu empresa, razón social, NIF, domicilio e información de contacto.
  • Si envías contenido publicitario, utiliza elementos que permitan su clara identificación como palabras o símbolos que señalen su carácter publicitario/comercial.
  • Incluye en el correo electrónico un medio sencillo y gratuito a través de la inclusión de, al menos, una dirección de e-mail, para poder anular la recepción de comunicaciones comerciales por vía electrónica.
  • No olvides de añadir la cláusula informativa y de legitimación de la LOPD en el pie de e-mail.

Como recomendación final, si envías documentos que incluyan datos personales o información confidencial a través de estos medios, trata de cifrarlos (puedes generar un documento con programas como Winrar y ponerle una contraseña segura), y remite la contraseña en un e-mail o comunicación por separado. Por la propia naturaleza de Internet ninguna de las aplicaciones o herramientas online puede garantizar al 100% que la información no pueda ser interceptada por terceros no autorizados, por lo que toda medida de seguridad aplicada ayudará a mantener la confidencialidad de los datos e información tratados.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *