El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una decisión que examinaba las transferencias de datos desde la UE, que se conoce como la decisión Schrems II.

Somos conscientes de que nuestros clientes podrían tener preguntas acerca del potencial impacto de esta decisión, así como de las medidas que va a tomar Freshworks para tratar el caso. Queremos aprovechar esta oportunidad para responder por adelantado a algunas de las preguntas frecuentes más importantes.

 

P: ¿Qué dictaminó la decisión Schrems II?

R: El TJUE declaró inválido el Escudo de Privacidad (Privacy Shield, en inglés) entre los EE. UU. y la UE como mecanismo para facilitar las transferencias legítimas de datos personales fuera del Espacio Económico Europeo (EEE), pero confirmó que las cláusulas contractuales tipo (o SCC, por las siglas en inglés de “Standard Contract Clauses”) seguirán siendo un mecanismo válido, tal y como aprobó anteriormente la Comisión Europea.

El TJUE hizo énfasis en que los controladores deben asegurarse de que existan las "salvaguardias adecuadas" para poder ofrecer a los individuos cuyos datos personales se transfieran un nivel de protección que sea "esencialmente equivalente" a la protección de la que disfrutan en Europa (con el Reglamento General de Protección de Datos o RGPD y la Carta de los Derechos Fundamentales de la Unión Europea. Las SCC son uno de los medios para lograr esto, si bien es posible que hagan falta "salvaguardias adicionales" en algunas circunstancias (ver abajo).

 

p: ¿Qué implica esto para las transferencias a Freshworks en virtud de su certificación Privacy Shield?

R: La privacidad es importante para Freshworks. Continuamos monitoreando las directrices emitidas por las Autoridades de Protección de Datos de la EU y el Consejo Europeo de Protección de Datos (un organismo de todos los órganos reguladores de la UE). También estamos a la espera de recibir aclaraciones adicionales por parte de la Comisión Europea y el gobierno de los EE. UU. para abordar algunos de los demás problemas generados por la decisión a nivel político.

Sin embargo, mientras tanto, la decisión no impide utilizar las SCC como un mecanismo legítimo de transferencia de datos. Por tanto, Freshworks confiará en las SCC para sus transferencias de datos fuera del EEE hacia los EE. UU., y seguirá confiando en las SCC para otras transferencias de datos hacia el exterior del EEE.     

Nuestro Apéndice de Privacidad de Datos (o Acuerdos de Procesamiento de Datos) anexa las SCC y aclara que las SCC se aplican entre nuestro cliente (como exportador) y Freshworks (como importador) para la transferencia de cualesquiera datos personales desde el EEE que no estén (o ya no estén) sujetos a una decisión de idoneidad (como el Privacy Shield). Ahora que las transferencias de datos personales a los EE. UU. en virtud del Privacy Shield no se consideran adecuadas, las SCC se aplican automáticamente en lugar del Privacy Shield en arreglo a nuestro apéndice.

Si bien se ha determinado que el Privacy Shield es un mecanismo no válido para las transferencias de datos personales dese el EEE, en Freshworks seguimos comprometidos a continuar procesando los datos personales recibidos desde el EEE de conformidad con lo estipulado en los principios del Privacy Shield.

 

Q: ¿Qué otras medidas va a tomar Freshworks para garantizar las "salvaguardias adecuadas" de datos europeos?

R: La privacidad es importante para Freshworks. Procuramos continuamente garantizar la máxima protección de todos los datos personales que procesamos. Estamos a la espera de recibir más directrices por parte del CEPD acerca de las medidas adicionales necesarias para garantizar las "salvaguardias adecuadas" para los datos de origen europeo. Mientras tanto, hemos querido dar a conocer las medidas que ya estamos tomando, las cuales se detallan a continuación:

1. Seguridad

     a. Nos sentimos muy orgullosos de nuestras robustas prácticas para seguridad de datos y privacidad, que evolucionan continuamente para garantizar la protección de los datos personales de nuestros clientes. Obtenga información más detallada sobre nuestro extenso programa de seguridad aquí.

     b. Contamos con certificación ISO 27001 y somos miembros de la Cloud Security Alliance (Alianza de seguridad en la nube). 

     c. Utilizamos cifrado AES de 256 bits con claves de 1024 bits para datos almacenados, así como cifrado TLS conforme con FIPS 140-2 para datos en tránsito, lo que significa que los datos son inteligibles para terceros.

 

 2. Solicitudes de las autoridades

     a. Hemos establecido estrictas políticas y procesos para garantizar que se les informe a los clientes oportunamente, tal y como establecen las SCC, cuando las fuerzas policiales u otras autoridades soliciten la divulgación de datos de los clientes.

     b. De conformidad con nuestras políticas y procesos, solamente brindamos acceso a los datos a las autoridades cuando estamos legalmente obligados.

 

P: Tengo más preguntas, ¿a quién puedo dirigirme?

R: Esperamos que esta sección de Preguntas frecuentes sirva para mitigar sus preocupaciones más inmediatas. Sin embargo, si tiene más preguntas, póngase en contacto con el administrador de su cuenta de Freshworks o envíenos un correo electrónico a privacy@freshworks.com.