Evaluación del impacto de la transferencia de datos

A la luz de la sentencia "Schrems II" del Tribunal de Justicia de la Unión Europea y las recomendaciones del Consejo Europeo de Protección de Datos, Accept Mission lleva a cabo evaluaciones de impacto para las transferencias de datos que forman parte del servicio Accept Mission.

Esta Evaluación del impacto de la transferencia de datos ("DTIA") identifica y describe el riesgo, así como las medidas de seguridad que Accept Mission ha implementado en relación con las transferencias de datos personales de los clientes desde el Espacio Económico Europeo, el Reino Unido o Suiza ("Europa") al Estados Unidos y la capacidad de Accept Mission para cumplir con sus obligaciones como "exportador de datos".

En su decisión Schrems II, el Tribunal de Justicia de la UE aclaró que el uso de cláusulas contractuales estándar ("SCC") requiere que los controladores de datos realicen una evaluación caso por caso del nivel de protección de datos que pueden proporcionar las SCC, teniendo en cuenta cuenta la naturaleza de las transferencias de datos personales y el país de destino.

Consulte el Anexo de protección de datos ("DPA") de Accept Mission para obtener una descripción de la naturaleza del procesamiento de datos. Accept Mission ha implementado medidas complementarias para proteger los datos personales para las transferencias a terceros en los Estados Unidos. Para ver dónde transferimos datos a nuestros proveedores fuera de la ubicación del servidor, consulte nuestro lista de subprocesadores.

Valoración del país de destino

La siguiente Leyes de los EE. UU. relevantes para la transferencia de datos entre la UE y los EE. UU. fueron identificados por el Tribunal de Justicia de la Unión Europea en Schrems II como obstáculos potenciales para garantizar una protección esencialmente equivalente para los datos personales en los EE. UU.:

  • FISA 702
  • Orden Ejecutiva 12333
  • Ley de la nube

Dado que Estados Unidos no ofrece a los datos personales un nivel de protección que sea esencialmente equivalente al que proporciona el RGPD, se necesitan medidas técnicas, organizativas o contractuales adicionales.

Propósito de la transferencia y cualquier procesamiento posterior:

Accept Mission utiliza varios subprocesadores que almacenan datos en los Estados Unidos y cuyos empleados pueden acceder a los datos personales en los Estados Unidos. Por favor vea nuestro lista de subprocesadores para información específica y flujos de datos.

Frecuencia

Aceptar Mission transfiere datos de forma continua, a medida que se utiliza el Servicio.

Categorías de datos personales

  • Direcciones de correo electrónico del usuario final
  • Nombres de usuarios finales
  • IP del usuario final
  • Detalles de la tarjeta de crédito del cliente
  • IP de contacto del cliente
  • Dirección del cliente
  • Detalles de la tarjeta de crédito del cliente
  • Nombre de contacto del cliente
  • Correo electrónico de contacto del cliente

Por favor vea nuestro lista de subprocesadores para obtener información específica sobre el procesador de las categorías de datos personales enviados a los Estados Unidos.

Informacion delicada

No transferimos intencionalmente ningún dato confidencial a los Estados Unidos.

Solicitudes de aplicación de la ley

Cada subprocesador de Accept Mission tiene una política de solicitud de cumplimiento de la ley y notificará a Accept Mission, donde lo permita la ley, antes de divulgar información en respuesta a una solicitud.

Longitud de la cadena de procesamiento

Los datos se transfieren externamente a nuestros subprocesadores.

Mecanismo de transferencia aplicable

Cuando Accept Mission transfiera datos personales de clientes que se originen en Europa a subprocesadores de terceros en los Estados Unidos, Accept Mission ha ingresado DPA con SCC con esas partes.

Medidas de proveedores suplementarios

Cada subprocesador de Accept Mission ha aceptado medidas contractuales que son al menos tan restrictivas como las que Accept Mission ha acordado con los Clientes. Por favor vea nuestro lista de subprocesadores para obtener información específica sobre certificaciones y cumplimiento, medidas de seguridad técnicas y organizativas del subprocesador individual.

Medidas Adicionales

Restricciones o salvaguardas aplicadas que toman plenamente en consideración la naturaleza de los datos y los riesgos involucrados:

  • Cada subprocesador de Accept Mission que procesa datos personales en los Estados Unidos tiene una política de solicitud de cumplimiento de la ley y notificará a Accept Mission, donde lo permita la ley, antes de divulgar información en respuesta a una solicitud.
  • Cada subprocesador de Accept Mission que procesa datos personales en los Estados Unidos está certificado para cumplir con estándares iguales o superiores a los de Accept Mission, por ejemplo, SOC2 Tipo 2.
  • Cada subprocesador de Accept Mission que procesa datos personales en los Estados Unidos tiene un período de retención limitado para estos datos.
  • Las categorías de datos personales están separadas y no todas están disponibles para el mismo subprocesador. Algunos procesan las direcciones de correo electrónico de los usuarios finales, pero no las direcciones IP. Un segundo es el procesamiento de direcciones IP. Un tercero está procesando los datos de la tarjeta de crédito del cliente.
  • Siempre que sea posible, los datos se cifran y anonimizan y los períodos de retención se reducen al mínimo.
  • Accept Mission brinda capacitación en protección de datos a todo el personal de Accept Mission.

Por favor vea nuestro lista de subprocesadores para obtener información específica sobre las medidas del proveedor y medidas adicionales para los datos enviados a los Estados Unidos.

Si bien se pueden usar leyes como "FISA 702" para obtener información de ciudadanos no estadounidenses, los datos personales enviados a los Estados Unidos son mínimos y no están vinculados a otros puntos de datos. Un nombre puede identificarse con una dirección de correo electrónico pero no con una dirección IP y no con ninguna información o contenido de comportamiento.

Accept Mission (como "exportador de datos") considera que los riesgos para los derechos de las personas al transferir y procesar el conjunto limitado de categorías de datos personales europeos en/hacia los Estados Unidos son bajos.

Con la naturaleza de la transferencia de datos personales descrita en este documento, Accept Mission y las medidas adicionales tomadas por Accept Mission y los proveedores externos, Accept Mission no ve la necesidad de medidas adicionales adicionales en este momento.

Reevaluación

Accept Mission revisará y, si es necesario, reconsiderará los riesgos asociados con sus subprocesadores, así como las medidas implementadas por ella misma y por terceros en intervalos regulares, al menos una vez al año.