VMware proporciona soluciones empresariales que permiten a sus clientes crear, gestionar, proteger y ejecutar aplicaciones en múltiples sistemas y entornos. Si bien VMware cree que, debido a la naturaleza de los servicios que presta a sus clientes, generalmente no habrá motivo para que la administración pública solicite acceso directo al Contenido del cliente, VMware ha implementado las siguientes medidas para cumplir la sentencia Schrems II y ayudar a los clientes en sus propias iniciativas de conformidad en relación con los datos que trata como responsable del tratamiento:
Refuerzo del compromiso contractual en relación con las solicitudes de acceso a los datos por parte de administraciones públicas
VMware ha actualizado la sección sobre divulgación obligatoria de los Términos generales de VMware para aclarar cómo aborda las solicitudes de acceso a los datos por parte de administraciones públicas:
Cuando notificar al cliente no esté prohibido por ley, VMware:
- Notificará al cliente: se notificará a los clientes de cualquier solicitud que hayamos recibido de divulgar contenido del cliente.
- Indicará al organismo de la administración pública que se dirija al cliente: se informará a la autoridad pública pertinente de que VMware es un proveedor de servicios que actúa en nombre del cliente y que todas las peticiones de acceso al contenido del cliente deben dirigirse por escrito a la persona de contacto que el cliente haya establecido con nosotros o al departamento jurídico del cliente.
- Limitará el acceso: solo se proporciona acceso al contenido del cliente con su autorización. Si el cliente lo solicita, a sus expensas, tomaremos medidas razonables para impugnar cualquier solicitud.
En caso de que a VMware se le prohíba por ley notificar al cliente, VMware:
- Evaluará la validez legal: VMware evaluará la solicitud de divulgación para determinar si es legalmente válida y vinculante.
- Impugnará las peticiones ilegales: VMware impugnará la resolución si tiene un motivo razonable para creer que esta no cumple la ley aplicable.
- Limitará el alcance de la divulgación: VMware limitará el alcance de cualquier divulgación para que solo incluya la información que se le exige revelar, y la divulgará de acuerdo con la ley aplicable.
Transparencia durante el proceso para gestionar las peticiones de acceso por parte de la administración pública y las autoridades estadounidenses
A fin de ayudar a los clientes a comprender mejor los compromisos y el proceso de VMware para gestionar las peticiones de acceso por parte de la administración pública, incluidos los compromisos establecidos en las «Normas corporativas vinculantes» (BCR) de VMware, hemos elaborado los Principios de VMware para gestionar las solicitudes de la administración pública para acceder al Contenido del cliente.
Además, hemos preparado la Declaración de VMware con respecto a la aplicación de la sección 702 de la Ley de Vigilancia de Inteligencia Exterior y la Orden Ejecutiva 12333 dado el caso Schrems II. Con esta declaración pretendemos abordar las preocupaciones que suscita el hecho de que las agencias de inteligencia estadounidenses tengan acceso a los datos que transitan de la Unión Europea a los Estados Unidos, así como ayudar a los clientes a comprender la posible aplicación de dos disposiciones estadounidenses: la Orden Ejecutiva 12333 y la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera. VMware cree firmemente que es poco probable que se vea sujeto a la sección 702 o la Orden Ejecutiva 12333 en relación con la prestación de servicios, dada la naturaleza de estos servicios.
Actualización de los contratos con los subencargados del tratamiento de los datos para garantizar la base legal de las transferencias de datos personales
Desde que se invalidara el Escudo de la Privacidad Unión Europea-Estados Unidos, VMware ha implementado cláusulas contractuales tipo con todos sus subencargados del tratamiento de los datos que anteriormente se apoyaban en el Escudo como mecanismo de transferencia de datos. En calidad de encargado del tratamiento de los datos, VMware se apoya en las Normas corporativas vinculantes para transferir datos personales fuera de la UE en relación con la prestación de los servicios de VMware aplicables, tal como se establece en el Anexo sobre tratamiento de datos de VMware.
Medidas técnicas y organizativas
VMware confirma su compromiso de implementar y mantener las medidas técnicas y organizativas adecuadas, tal como se establece en el Anexo sobre tratamiento de datos de VMware. En VMware Trust Center se describen las certificaciones y auditorías externas que VMware mantiene en relación con sus servicios. Dada la naturaleza de los servicios de VMware, los clientes también controlan la manera en la que configuran los servicios. Además, pueden implementar los controles administrativos y técnicos necesarios para proteger los datos que se tratan en relación con su uso de los servicios correspondientes. En muchos casos, VMware proporciona soluciones tanto locales como alojadas para que los clientes elijan a la hora de gestionar sus sistemas e infraestructura.
Evaluaciones de las repercusiones de la transferencia
VMware ha implementado un proceso para evaluar las repercusiones de la transferencia, tal como se detalla en las preguntas frecuentes de este tipo de evaluaciones. Además, VMware ha actualizado las «Normas corporativas vinculantes para encargados del tratamiento de datos» (BCR-P), aprobadas por las autoridades supervisoras, para incluir el compromiso de llevar a cabo evaluaciones de las repercusiones de la transferencia. Consulte el procedimiento de evaluación de la repercusión de las transferencias de VMware establecido en sus BCR-P.
Transparencia con respecto a los tipos de datos tratados por el servicio de VMware: fichas
El Comité Europeo de Protección de Datos (CEPD), en sus preguntas frecuentes sobre Schrems II, señaló que es necesario tener en cuenta los tipos de datos transferidos como un factor para determinar si existe un nivel adecuado de protección en torno a la transferencia de datos personales fuera de la UE, y que los responsables del tratamiento de datos deberían realizar un análisis según cada caso para determinar los riesgos que plantea dicha transferencia. Para ayudar a los clientes a comprender los tipos de datos que se tratan en relación con su uso de los servicios de VMware, VMware proporciona descripciones de cada servicio y pone a disposición fichas para ciertos servicios en la sección sobre privacidad de VMware Trust Center. En el caso de los servicios de Workspace ONE, VMware también pone a disposición la Declaración sobre Workspace ONE.