O problema que non sabías que tiñas
Se a túa empresa envía facturas, pedidos, albaráns de entrega ou calquera documento con datos de clientes a través dunha aplicación de mensaxería convencional, eses datos pasan por servidores que probablemente non están en Europa. Ou se están, pertencen a unha empresa suxeita a lexislación estranxeira. O RXPD ten algo que dicir sobre iso.
A normativa europea de protección de datos esixe saber onde están os teus datos, quen ten acceso a eles e baixo que xurisdición. Cando usas unha aplicación de mensaxería cun servidor central, os teus documentos pasan por unha infraestrutura que non controlas. Os datos dos teus clientes almacénanse — aínda que temporalmente — en máquinas doutra empresa, noutro país, baixo outras leis.
Que cambia cando non hai servidor
Nunha comunicación entre pares, os datos van directamente do dispositivo do emisor ao do receptor. Non pasan por ningún servidor intermedio. Non se almacenan en ningunha infraestrutura de terceiros. O documento sae do teu ordenador en Lugo e chega ao ordenador do teu cliente en Barcelona. Ou Berlín. Ou Lisboa. Pero nunca pasa por Silicon Valley.
Non é un detalle técnico menor. Aquí, o cumprimento do RXPD non se logra con esforzo e boa vontade. Lógrase porque a arquitectura fai imposible violalo. Non hai transferencia internacional de datos porque non hai transferencia a ningún terceiro. Os datos están no teu dispositivo e no da túa contraparte. En ningún outro lugar.
A quen lle importa isto
Se es avogado e envías un contrato a un cliente por mensaxería, os datos dese contrato pasan por un servidor. Se es asesor fiscal e compartes unha declaración de impostos, eses datos pasan por un servidor. Se es médico e envías un informe a un paciente, os datos de saúde pasan por un servidor. En todos eses casos, estás delegando a custodia de información confidencial nunha empresa que non elixiches e que non controlas.
Non é que esteas facendo algo mal a propósito. É que a ferramenta que usas non che dá outra opción. A única forma de que os teus datos profesionais non pasen por servidores de terceiros é que a comunicación sexa directa. Sen intermediarios. Da túa pantalla á deles.
Cumprimento automático
Coa comunicación P2P, non necesitas auditar onde están os servidores do teu provedor de mensaxería. Non necesitas verificar o cumprimento co Privacy Shield ou coas cláusulas contractuais tipo da UE. Non necesitas engadir unha cláusula á túa política de privacidade explicando que os teus datos 'poden ser procesados fóra do Espazo Económico Europeo'. Nada diso aplica, porque ningún terceiro está procesando os teus datos.
O cumprimento non depende da boa vontade de ninguén. Non depende dun acordo de tratamento de datos cun provedor. Non depende dunha empresa americana mantendo o seu compromiso coa lexislación europea. Depende da arquitectura. E a arquitectura é verificable, inmutable e non cambia de opinión.
A pregunta para a túa próxima auditoría
A próxima vez que alguén che pregunte onde están os datos dos teus clientes, a mellor resposta posible é: 'No meu dispositivo e no deles. En ningún outro lugar.' Non fai falta un informe de cen páxinas. Non fai falta un DPO revisando contratos de provedores. A privacidade dos datos dos teus clientes está garantida por deseño, non por promesas.