Transferencias de datos personales

Para prestarte nuestros servicios de manera efectiva, los datos personales que proporcionas a la entidad Shopify con la que contrataste un servicio se transfieren a los siguientes destinatarios:

• Otras entidades de Shopify
• Subprocesadores confiables cuidadosamente seleccionados.

Esta sección proporciona información sobre cómo se rigen las transferencias de datos personales.

Transferencias de datos personales desde el Espacio Económico Europeo (EEE) y el Reino Unido

Shopify International Limited, una entidad con registro irlandés, es la principal entidad contratante de Shopify con comerciantes en Europa, Oriente Medio, África y América Latina. Shopify International Limited también actúa como el establecimiento principal de Shopify en lo que concierte el Reglamento general de protección de datos (RGPD).

El RGPD, y su equivalente en el Reino Unido, exige que cuando los datos personales se comparten con una entidad fuera del EEE y del Reino Unido, debe haber un nivel de protección esencialmente equivalente en el país de destino. Por esta razón, dichas transferencias internacionales deben estar protegidas por mecanismo legales robustos.

Cómo Shopify cumple con los requisitos del RGPD para transferencias de datos a nivel internacional

Para cumplir con este requisito, Shopify se basa en la decisión de adecuación de la Comisión Europea para Canadá cuando Shopify International Limited transfiere datos personales a su empresa matriz registrada en Canadá, Shopify Inc. Obtén más información sobre las decisiones de adecuación.

Adicionalmente, Shopify también negocia acuerdos integrales de transferencia y procesamiento de datos (DPA) que incorporan la última versión de las cláusulas contractuales estándar (SCC) aprobadas por la Comisión Europea para regular:

• cualquier transferencia dentro del grupo Shopify;
• Transferencias de datos personales a nuestros subprocesadores

Evaluamos cuidadosamente nuestros subprocesadores para asegurarnos de que cumplan con las medidas técnicas y organizacionales adecuadas para proteger los datos personales y realizar las evaluaciones adecuadas de impacto de la transferencia. Obtén más información sobre las SCC.

Tanto la decisión de adecuación como las SCC se consideran mecanismos de transferencia legalmente válidos y suficientes por las autoridades de protección de datos en el EEE y en el Reino Unido.

Como medida de transparencia, Shopify también ha solicitado la aplicación de Normas Corporativas Vinculantes para regular aún más las transferencias dentro del grupo Shopify. Esa solicitud se ha hecho a la Comisión de Protección de Datos de Irlanda, autoridad supervisora principal de Shopify, en cumplimiento del RGPD. Estas serán un medida legal adicional de transferencia para garantizar las transferencias dentro de nuestro grupo de empresas. Estamos en el último proceso de aprobación de esta solicitud y esperamos que se apruebe pronto.

Transferencias de datos personales de todas las demás regiones

Ciertas leyes de privacidad en jurisdicciones que no son el EEE ni el Reino Unido también requieren protecciones específicas cuando se trata de transferencias internacionales de datos personales. Para cumplir con estos requisitos, los DPA de Shopify que rigen las transferencias dentro del grupo Shopify y sus DPA que rigen las transferencias de datos personales a sus subprocesadores incluyen protecciones adecuadas para garantizar el cumplimiento de las leyes de privacidad en Canadá, Estados Unidos (EE. UU.) y Singapur, según corresponda. También actualizamos y mantenemos estos DPA según sea necesario.

Sucursales de alojamiento de datos

Shopify vuelve a equilibrar dinámicamente el almacenamiento entre varias regiones de Google Cloud Platform para asegurarse de poder ofrecer una infraestructura confiable y adaptable que pueda gestionar volúmenes impredecibles en toda su base de datos de comerciantes. Necesita poder transferir datos geográficamente para prestar sus servicios y tiene mecanismos implementados para hacerlo de acuerdo con las leyes y regulaciones aplicables, incluido el RGPD.

Actualmente, Shopify almacena ciertos datos personales de comerciantes y clientes en Europa (específicamente en el EEE, el Reino Unido o Suiza) de la siguiente manera:

• Los nuevos comerciantes en Europa aprovechan automáticamente esta nueva infraestructura y ahora, de forma predeterminada, tienen los datos personales de clientes, así como los de tienda y de pedidos, almacenados en reposo en Europa.
• Todas las funciones existentes de Shopify seguirán funcionando.
• Incluso en los casos en que los datos personales de los clientes y comerciantes se almacenan en Europa, Shopify depende de las transferencias internacionales de datos para procesar esa información personal.

Cómo elige Shopify sus subprocesadores

En línea con el RGPD y otras leyes de protección de datos aplicables, Shopify aprueba una serie de medidas de mejores prácticas al suscribir subprocesadores:

• Elegimos las empresas con las que trabajamos cuidadosamente.
• Solo usamos un número limitado de proveedores de servicios externos.
• Nos aseguramos de que los subprocesadores firmen un DPA completo, incorporando SCC además de protecciones adecuadas para garantizar el cumplimiento de las leyes de privacidad en Canadá, Estados Unidos y Singapur.
• Limitamos el uso de nuestros subprocesadores a los servicios técnicos: alojamiento en la nube, registro de errores, balance de carga, entrega de contenido, entrega de mapeo, análisis de datos y registro interno (archivos de registro).
• La transferencia se produce de manera continua y segura.
• No hay categorías de datos personales confidenciales o especiales que se procesen deliberadamente, a menos que el controlador lo indique.
• Revisamos cuidadosamente los programas de privacidad y seguridad de nuestros subprocesadores.

Más información sobre los subprocesadores principales de Shopify.