El Privacy Shield ha sido anulado ¿y ahora qué hacemos?
Que levante la mano quien no tenga un solo proveedor que no esté en los Estados Unidos. Ya no hablamos sólo de Google, Amazon o Microsoft sino de otros proveedores que proporcionan cientos de herramientas que tratan datos fuera de la Unión Europea.
El que los datos “viajen” de la Unión Europea a otro país supone una transferencia internacional de datos personales.
Por definición el resto de los países no son seguros, mejor dicho, no exigen a sus empresas y responsables los mismos requisitos que la Unión Europea exige a esos responsables y por ello, las transferencias internacionales de datos deben cumplir con unos mínimos o no serán lícitas.
¿Cuáles son esos casos en los que las transferencias internacionales son lícitas?
- Transferencias basadas en una decisión de adecuación: por ejemplo, países cuya legislación en protección de datos es similar a la de la UE y ofrecen garantías. La lista no es muy larga. Puedes consultarla aquí.
- Transferencias mediante garantías adecuadas, por ejemplo unas normas corporativas vinculantes (“Binding Corporate Rule”s o “BCRs” en inglés) o mediante acuerdos y contratos que incluyan las llamadas cláusulas contractuales tipo («Standard Contractual Clauses» o «SCCs» en inglés) aprobadas por la Comisión Europea y que están siendo objeto de actualización. Sabemos que están en el horno y que se publicarán en breve.
- Excepciones para situaciones específicase. solicitar el consentimiento al interesado, basar la transferencia en la relación contractual con el interesado, etc.
- Otras -que entrarían en las decisiones de adecuación pero que nos interesan por la actualidad de la noticia-: el Privacy Shield, instrumento suscrito entre la UE y el gobierno de los Estados Unidos para “bendecir” las transferencias internacionales entre la UE y EEUU. Este instrumento ha sido ahora invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de este año que nos pone en una situación delicada.
Como primera conclusión: las transferencias actuales entre la UE y EEUU que se basen en el Privacy Shield, ahora mismo, no son lícitas.
¿Era el Privacy Shield un paripé?
Muchos pensamos que era una solución para salir del paso, porque hace cinco años nos pasó exactamente lo mismo que ahora. Y fruto del mismo procedimiento del Sr. Maximillian Schrems que no contento con Facebook y sus transferencias internacionales, ha llegado tan lejos que ha puesto en el candelero al resto de las transferencias internacionales entre la UE y Estados Unidos. Ya sabíamos que sonó un poco apaño con respecto al Safe Harbour pero todos respiramos aliviados cuando se invalidó este y la Comisión Europea, rauda y veloz alcanzó esta solución en un tiempo record (y qué casualidad que meses antes de las elecciones presidenciales americanas…). La historia se repite.
Antes de salir corriendo y a la espera de que las autoridades de la UE se pronuncien de una forma concreta sobre el tema (el EDPB ya ha anunciado que lo hará) vaticinamos lo que va a suceder aportando nuestro granito de arena:
1.- Puesto que la nueva versión de las cláusulas contractuales tipo está en el horno, firmar ahora una SCC (Standard Contractual Clauses) es un poquito arriesgado. Pero de momento, parece una de las opciones más seguras.
2.- Cambiar proveedores deprisa y corriendo hacia proveedores europeos tampoco es buena solución aunque visto lo visto, creo que de esta deberíamos aprender para el futuro. Más vale malo en la UE que mejor pero fuera de ella. Existen infinidad de herramientas y proveedores en la Unión Europea que no nos harán plantearnos periódicamente esta situación.
Lamento hacer el inciso aquí pero es que el Covid19 nos ha demostrado lo vulnerables que somos económicamente hablando: dependemos mucho del exterior y de países terceros, no sólo en la UE sino fuera de ella. Desde las mascarillas hasta las manzanas, casi todo lo compramos fuera, incluyendo la tecnología. Explorar soluciones tecnológicas «de proximidad» igual no es una mala idea y de paso fomentamos la economía local. Esto vale para las manzanas, las mascarillas y las aplicaciones. De todo esto tenemos aquí. Y muy buenas.
3.- Las Autoridades de Control de la UE, es decir las agencias de protección de datos de cada país, no se van a poner a sancionar mañana. Este es un problema global con unas consecuencias muy importantes para todas las empresas responsables de datos: grandes y pequeñas, administraciones públicas y entidades de todo tipo. en 2015 fueron comprensivos y pacientes. Confiamos en que lo vuelvan a ser y que tengamos «periodo de carencia» o de «gracia».
4.- La Comisión Europea probablemente se haya puesto a trabajar en el tema buscando una nueva solución que sustituya a lo que ha sido Privacy Shield y antes Safe Harbour. ¿Cuál es el problema? Que el gobierno de los EEUU seguirá queriendo acceder a los datos y por lo tanto los datos de los ciudadanos de la UE nunca gozarán de la misma protección que en la UE. Tendrán que superar de alguna forma este escollo o peligran la mayoría de las transferencias con dicho país. Los europeos estamos un poquito hartos de este tema. Pues ¿a la tercera va la vencida?
5.- ¿Qué hacemos mientras tanto?
Podríamos distinguir dos soluciones:
a) Si ya estamos trabajando con proveedores fuera de la UE: revisar los contratos y las condiciones. Muchos de ellos afirmaban estar adheridos a Privacy Shield pero otros además, contaban ya con las cláusulas contractuales tipo (SCCs) que no han sido invalidadas. Entre otros, Google, Microsoft 365 y Amazon Web Services.
También podemos esperar. Es más, deberíamos esperar a los sabios consejos de las autoridades de protección de datos. Este no es un problema individual: es un problema colectivo que deben abordar las instancias superiores. No tiene ningún sentido que las autoridades declaren la suspensión de las transferencias internacionales ya que supondría un colapso económico sin precedentes. Tal y como sucedió la última vez, se buscarán soluciones que garanticen los derechos de los ciudadanos de la UE y que a la vez permitan a las empresas seguir trabajando con proveedores americanos.
b) Si nos estamos pensando trabajar con A o con B y resulta que B está en la UE, el consejo es, contrata con B. Te ahorras un problema salvo que te ofrezcan muchas garantías y las transferencias estén dentro de uno los casos que el RGPD permite las transferencias internacionales. Es drástico pero visto lo visto, ahora mismo, sería el consejo más sensato.
El problema es que muchas soluciones no tienen una alternativa en la UE…
Moraleja: esperemos un poco y vayamos poniéndonos en el peor de los escenarios: mucho trabajo de contratos arriba y abajo. Las empresas americanas si son listas, no pondrán objeciones por la cuenta que les tiene. Confiemos en soluciones más o menos definitivas que respeten, de verdad de la buena, los derechos de los ciudadanos de la UE. Esta situación es muy incómoda desde el punto de vista burocrático pero evidencia que en la protección de los datos fuera de la UE queda mucho por hacer y que sin verdaderas garantías, todo se queda en papel mojado. Demos las gracias al Sr. Schrems por llegar hasta las últimas consecuencias… por mucho que nos moleste.
Paz Martin
20 de julio de 2020
#losdetallesimportan