Privacy Shield

El Privacy Shield ha sido anulado ¿y ahora qué hacemos?

Que levante la mano quien no tenga un solo proveedor que no esté en los Estados Unidos. Ya no hablamos sólo de Google, Amazon o Microsoft sino de otros proveedores que proporcionan cientos de herramientas que tratan datos fuera de la Unión Europea.

El que los datos “viajen” de la Unión Europea a otro país supone una transferencia internacional de datos personales.

Por definición el resto de los países no son seguros, mejor dicho, no exigen a sus empresas y responsables los mismos requisitos que la Unión Europea exige a esos responsables y por ello, las transferencias internacionales de datos deben cumplir con unos mínimos o no serán lícitas.

¿Cuáles son esos casos en los que las transferencias internacionales son lícitas?

  • Transferencias basadas en una decisión de adecuación: por ejemplo, países cuya legislación en protección de datos es similar a la de la UE y ofrecen garantías. La lista no es muy larga. Puedes consultarla aquí.
  • Transferencias mediante garantías adecuadas, por ejemplo unas normas corporativas vinculantes (“Binding Corporate Rule”s o “BCRs” en inglés) o mediante acuerdos y contratos que incluyan las llamadas cláusulas contractuales tipo («Standard Contractual Clauses» o «SCCs» en inglés) aprobadas por la Comisión Europea y que están siendo objeto de actualización. Sabemos que están en el horno y que se publicarán en breve.
  • Excepciones para situaciones específicase. solicitar el consentimiento al interesado, basar la transferencia en la relación contractual con el interesado, etc.
  • Otras -que entrarían en las decisiones de adecuación pero que nos interesan por la actualidad de la noticia-: el Privacy Shield, instrumento suscrito entre la UE y el gobierno de los Estados Unidos para “bendecir” las transferencias internacionales entre la UE y EEUU. Este instrumento ha sido ahora invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de este año que nos pone en una situación delicada.

Como primera conclusión: las transferencias actuales entre la UE y EEUU que se basen en el Privacy Shield, ahora mismo, no son lícitas.

¿Era el Privacy Shield un paripé?

Muchos pensamos que era una solución para salir del paso, porque hace cinco años nos pasó exactamente lo mismo que ahora. Y fruto del mismo procedimiento del Sr. Maximillian Schrems que no contento con Facebook y sus transferencias internacionales, ha llegado tan lejos que ha puesto en el candelero al resto de las transferencias internacionales entre la UE y Estados Unidos. Ya sabíamos que sonó un poco apaño con respecto al Safe Harbour pero todos respiramos aliviados cuando se invalidó este y la Comisión Europea, rauda y veloz alcanzó esta solución en un tiempo record (y qué casualidad que meses antes de las elecciones presidenciales americanas…). La historia se repite.

Antes de salir corriendo y a la espera de que las autoridades de la UE se pronuncien de una forma concreta sobre el tema (el EDPB ya ha anunciado que lo hará) vaticinamos lo que va a suceder aportando nuestro granito de arena:

1.- Puesto que la nueva versión de las cláusulas contractuales tipo está en el horno, firmar ahora una SCC (Standard Contractual Clauses) es un poquito arriesgado. Pero de momento, parece una de las opciones más seguras.

2.- Cambiar proveedores deprisa y corriendo hacia proveedores europeos tampoco es buena solución aunque visto lo visto, creo que de esta deberíamos aprender para el futuro. Más vale malo en la UE que mejor pero fuera de ella. Existen infinidad de herramientas y proveedores en la Unión Europea que no nos harán plantearnos periódicamente esta situación.

Lamento hacer el inciso aquí pero es que el Covid19 nos ha demostrado lo vulnerables que somos económicamente hablando: dependemos mucho del exterior y de países terceros, no sólo en la UE sino fuera de ella. Desde las mascarillas hasta las manzanas, casi todo lo compramos fuera, incluyendo la tecnología. Explorar soluciones tecnológicas «de proximidad» igual no es una mala idea y de paso fomentamos la economía local. Esto vale para las manzanas, las mascarillas y las aplicaciones. De todo esto tenemos aquí. Y muy buenas.

3.- Las Autoridades de Control de la UE, es decir las agencias de protección de datos de cada país, no se van a poner a sancionar mañana. Este es un problema global con unas consecuencias muy importantes para todas las empresas responsables de datos: grandes y pequeñas, administraciones públicas y entidades de todo tipo. en 2015 fueron comprensivos y pacientes. Confiamos en que lo vuelvan a ser y que tengamos «periodo de carencia» o de «gracia».

4.- La Comisión Europea probablemente se haya puesto a trabajar en el tema buscando una nueva solución que sustituya a lo que ha sido Privacy Shield y antes Safe Harbour. ¿Cuál es el problema? Que el gobierno de los EEUU seguirá queriendo acceder a los datos y por lo tanto los datos de los ciudadanos de la UE nunca gozarán de la misma protección que en la UE. Tendrán que superar de alguna forma este escollo o peligran la mayoría de las transferencias con dicho país. Los europeos estamos un poquito hartos de este tema. Pues ¿a la tercera va la vencida?

5.- ¿Qué hacemos mientras tanto?

Podríamos distinguir dos soluciones:

a) Si ya estamos trabajando con proveedores fuera de la UE: revisar los contratos y las condiciones. Muchos de ellos afirmaban estar adheridos a Privacy Shield pero otros además, contaban ya con las cláusulas contractuales tipo (SCCs) que no han sido invalidadas. Entre otros, Google, Microsoft 365 y Amazon Web Services.

También podemos esperar. Es más, deberíamos esperar a los sabios consejos de las autoridades de protección de datos. Este no es un problema individual: es un problema colectivo que deben abordar las instancias superiores. No tiene ningún sentido que las autoridades declaren la suspensión de las transferencias internacionales ya que supondría un colapso económico sin precedentes. Tal y como sucedió la última vez, se buscarán soluciones que garanticen los derechos de los ciudadanos de la UE y que a la vez permitan a las empresas seguir trabajando con proveedores americanos.

 

b) Si nos estamos pensando trabajar con A o con B y resulta que B está en la UE, el consejo es, contrata con B. Te ahorras un problema salvo que te ofrezcan muchas garantías y las transferencias estén dentro de uno los casos que el RGPD permite las transferencias internacionales. Es drástico pero visto lo visto, ahora mismo, sería el consejo más sensato.

El problema es que muchas soluciones no tienen una alternativa en la UE…

Moraleja: esperemos un poco y vayamos poniéndonos en el peor de los escenarios: mucho trabajo de contratos arriba y abajo. Las empresas americanas si son listas, no pondrán objeciones por la cuenta que les tiene. Confiemos en soluciones más o menos definitivas que respeten, de verdad de la buena, los derechos de los ciudadanos de la UE. Esta situación es muy incómoda desde el punto de vista burocrático pero evidencia que en la protección de los datos fuera de la UE queda mucho por hacer y que sin verdaderas garantías, todo se queda en papel mojado. Demos las gracias al Sr. Schrems por llegar hasta las últimas consecuencias… por mucho que nos moleste.

 

Paz Martin

20 de julio de 2020

#losdetallesimportan

Hacer las cosas bien en protección de datos: las últimas sanciones y cómo evitarlas

El Reglamento UE 2016/679 General de Protección de Datos (RGPD) contempla sanciones para quienes no cumplan con lo dispuesto en el mismo. Las sanciones consisten, habitualmente, en multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual de una compañía en los casos más graves.

El RGPD ya tiene rodaje suficiente para saber «por donde van los tiros». En particular, en lo que se refiere a nuestra autoridad de control, la Agencia Española de Protección de Datos cuyas sanciones son todavía «razonables» , está ofreciendo pistas para que las empresas y entidades que gestionan datos personales puedan adoptar medidas y subirse al carro de hacer las cosas bien.

La Agencia Española de Protección de Datos es además competente en la parte de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) que afecta a cookies y a comunicaciones comerciales por medios electrónicos. Las denuncias sobre emails, SMS y llamadas comerciales no deseadas siguen siendo muy frecuentes.

Pero también hay conductas recogidas en el RGPD y en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) cuyo incumplimiento puede dar lugar a sanción.

Para muestra un botón:

Las resoluciones de expedientes sancionadores más recientes son variopintas pero a continuación enumeramos algunas que pueden servir de guía y ejemplo de lo fácil que es incumplir el RGPD pero también, por qué no, lo fácil que puede ser hacerlo bien:

  • Sanción por no designar Delegado de Protección de Datos cuando sea obligatorio. El RGPD da las pistas de quién debe designar DPO. La LOPDGDD establece la lista de entidades que sí o sí deben designarlo. Hay situaciones «grises». Tener un DPO siempre es positivo, puede ser externo, habrá alguien a quien acudir en cuestiones de privacidad. Además si pasa algo, será el interlocutor con la Agencia Española de Protección de Datos y en caso de un procedimiento sancionador se tendrá en cuenta como circunstancia «atenuante»… Y de paso nos da de comer a los que nos dedicamos a esto. Poner un DPO en la vida de la empresa nunca será una mala idea…
  • Sanción por reutilizar papel y que ello suponga una pérdida de confidencialidad. Un caso curioso, sobre todo porque se trataba de una abogada. Al «papel sucio» lo carga el diablo. Nos sabe tan mal tirar el papel que lo reutilizamos sin pensar en que puede contener información confidencial o datos personales. Reutilizar listados SIEMPRE es una mala idea. A la destructora. Sin compasión. Y el que quiera ser ecológico o «enviroment friendly» que se lo piense dos veces antes de imprimir. El papel es peligroso incluso cuando se reutiliza para que los niños hagan dibujitos…
  • Sanción por no haber notificado una brecha de seguridad. Sobre todo porque la brecha tuvo consecuencias. La tesitura de notificar o no notificar sólo puede depender de que se hayan puesto en riesgo los datos de las personas. La propia Agencia Española de Protección de Datos en su Guía de gestión de brechas de seguridad facilita algunos consejillos que son muy útiles a la hora de tomar la decisión y analizar el riesgo. Ni se trata de notificar todo ni se trata de ser demasiado tolerante porque el hecho de no notificar ya es, en si mismo, un incumplimiento. Ojo con esto.
  • Sanción por no facilitar un medio sencillo para rechazar cookies y ese medio no es poner únicamente los enlaces a los navegadores más habituales. A pesar de la sanción a IKEA por el mismo tema, todavía se ven muchas webs que ni lo uno ni lo otro. Es decir, que igual de fácil tiene que ser aceptar las cookies como rechazarlas. Un panelito de configuración de cookies y asunto resuelto. A los profesionales de estas cosas nos da rabia que no nos hagan caso pues cuesta poco hacerlo bien y las webs son muy visibles.
  • Apercibimiento por haber enviado un email a más de 300 socios en copia abierta y por lo tanto revelando las direcciones de email al resto de los socios. El típico error humano. Pero con consecuencias. Que levante la mano quien en su vida no se le haya escapado un email con copia a otros en abierto… El problema es cuando son comunicaciones comerciales puras y duras o como en este caso, a socios de una entidad. En este caso no hubo multa sino apercibimiento pero el susto no se le quita nadie. En algunas resoluciones más antiguas la multa fue considerable. Por ello hay que ser muy cautelosos y si es posible utilizar herramientas de automatización de los emailings que evitan precisamente esto. Recuerdo un caso de una residencia de mayores que enviaron un email en abierto a todos los familiares de residentes no sólo dejando a la vista los correos sino su vínculo familiar con el residente: «Paco hijo de Pedro», «Herminia sobrina de Justo»… Sin comentarios. El dedo quieto antes de lanzar un email masivo.
  • Multa por no cruzar las bases de datos con la lista Robinson. A todos nos molesta que nos envíen comunicaciones comerciales sin nuestro consentimiento. Hay matices: que seamos clientes de alguna entidad (se pueden basar en su interés legítimo), que hayamos dado el consentimiento y no nos acordemos (muy frecuente) o que a pesar de habernos apuntado a la lista Robinson, le hayamos dado el consentimiento directamente a esa entidad. En todo caso, aviso a navegantes. Todos estamos hasta el gorro de recibir cosas. Lo normal es que se ejercite el llamado derecho de supresión (o del de oposición si procede) pero hay muchas denuncias sobre este tema.

Moraleja:

Hacer las cosas bien no cuesta tanto. Los casos descritos son todos reales y recientes.

Si bien es cierto es que hay cierta tendencia a la «querulancia» en este país (corre a coger un diccionario), si existen motivos objetivos de incumplimiento, es muy posible que nos abran un procedimiento sancionador. En una decisión muy antigua de la Agencia Española de Protección de Datos y que nunca se me olvidará, el Director afirmaba que «la intencionalidad del denunciante no es óbice para apreciar la existencia del incumplimiento normativo». Es decir, que si el denunciante tiene muy mala idea y resulta que es un cliente descontento (o un trabajador despechado), la Agencia no lo tiene en cuenta (por lo menos, de primeras).

Tener política de privacidad en la web, hacer una buena gestión de la base de datos, adoptar unos mínimos de seguridad, atender las peticiones de los usuarios… No es tan complicado.

Cuestiones sencillas como consultar con un profesional de la protección de datos puede evitar más de un disgusto. Si estamos ante cuestiones más complejas, se podrá discutir incluso en los tribunales pero la mayoría de las sanciones se derivan de incumplimientos flagrantes de la normativa.

Y que no se nos olvide: gestionamos datos de personas. La privacidad es un derecho fundamental y no podemos criticar a una sociedad «que nos vigila» si cada uno, en la medida de su actividad y posibilidades, no respeta dicho derecho.

 

Paz Martín

Madrid, 8 de julio de 2020

#losdetallesimportan