Al hablar de protección de datos, hay un término que muchas empresas desconocen y que, sin embargo, afecta de lleno a su actividad. Se trata del Privacy Shield, un acuerdo entre la Unión Europea y EEUU por el que se permite el flujo de datos de forma internacional y que ha sido anulado por el Tribunal de Justicia de la Unión Europea. En este artículo analizamos los efectos de esta anulación en la gestión de protección de datos de empresas y autónomos.
¿Qué es el Privacy Shield?
El Privacy Shield es un acuerdo por el que se ha regulado la transferencia de datos personales de la Unión Europea a los Estados Unidos de América entre el año 2016 y 2020. Este acuerdo nace como consecuencia de la proliferación por parte de muchas pymes y autónomos del uso de aplicaciones y servicios radicados en EEUU como Google (G-mail, G-Docs, G-Drive o G-Meet, …), Microsoft (Office 365, Teams o Sharepoint,…), ZOOM, Dropbox, Mailchimp, Whatsapp, Telegram, entre muchos otros. Servicios que, sin que muchas empresas sean plenamente conscientes de ello, suponen la exportación de datos a EEUU.
Para poder contratar proveedores cuyos servicios y/o tratamientos se alojan en EEUU y realizar estas exportaciones-transferencias internacionales de datos, se creó este acuerdo de Privacy Shield, por el que las empresas de EEUU se autocertifican y pueden tratar datos desde la UE sin necesidad de hacer trámites farragosos ni solicitar consentimientos complicados de obtener.
El tribunal de Justicia de la Unión Europea anula el Privacy Shield
El pasado mes de julio, el Tribunal de Justicia de la Unión Europea (TSJE) en la conocida como Sentencia Schrems II declaró nulo este acuerdo de privacidad, al considerar que no garantiza la protección de datos conforme al Reglamento Europeo de Protección de Datos (RGPD).
La anulación viene determinada porque las leyes americanas permiten el acceso sin restricciones por la NSA y el FBI-CIA a datos personales alojados en servidores/empresas de USA sin necesidad de mandamiento judicial, supuestamente para asuntos de seguridad nacional. Sin embargo, esto no se verifica por un órgano judicial, por lo que no se consideran suficientes las garantías para los ciudadanos europeos.
Cómo garantizar la protección de datos en empresas que usan servicios americanos
A pesar de que el acuerdo de Privacy Shield haya sido anulado por el TSJE, las empresas pueden seguir usando estos servicios y exportando datos a EEUU acogiéndose a las Cláusulas Contractuales Tipo, que se mantienen en vigor. Este tipo de cláusulas estándar son otro mecanismo de autorización para el flujo de datos, aunque en la sentencia se establece que se requieren acciones adicionales (no se especifican cuáles) para garantizar la protección de los datos.
Por tanto, siendo estrictos, el único mecanismo que queda disponible para poder exportar datos desde la UE hacia EEUU es el consentimiento libre, específico, inequívoco e informado de TODOS y cada uno de los interesados para que sus datos puedan exportarse a USA.
Esta base de legitimación es a nuestro juicio totalmente inviable para los sistemas de tratamiento que están en funcionamiento en la actualidad, ya que establece un mecanismo para conseguir que a todos los interesados se les requiera el consentimiento, que efectivamente lo consientan, que se eliminen los datos de los tratamientos a los que no se consiga su consentimiento, etc… Este es un problema de compleja solución práctica. Solamente tendría sentido para un tratamiento que se inicie de cero, incluyendo esta premisa en las condiciones de tratamiento.
Una solución idónea posible sería requerir a la empresa actual que presta los servicios que estos se efectúen dentro de la UE, o trasladar los servicios actuales a una empresa que garantice que los datos van a estar tratados y alojados siempre dentro de la UE.
En cualquier caso, la UE y el Departamento de Comercio USA llevan ya varias semanas revisando la situación y tratando de solucionar este problema, pero parece que llevará un tiempo llegar a conclusiones viables que no sean revocadas por el TJUE.
Demandas a empresas que incumplen con el RGPD
Schrems, promotor de la demanda de anulación del Privacy Shield ante el TJUE, ha iniciado ya procesos de demanda a grandes empresas americanas, e incluso a entidades españolas.
A este respecto, el lunes 17 de agosto, Schrems anunciaba a través de su organización NOYB (None of Your Business) su campaña de 101 quejas. El austriaco ha presentado reclamaciones en todas las autoridades de protección de datos europeas contra 101 web europeas además de contra Google y Facebook alegando que siguen usando Google Analytics o Facebook Connect y transfiriendo datos a Estados Unidos.
Riesgos para las empresas españolas que usan servicios americanos
Las empresas españolas que utilizan servicios basados total o parcialmente en USA están en riesgo de infracción por Transferencia Internacional de Datos sin autorización ni base de legitimación adecuada.
Soluciones para que las empresas cumplan con el RGPD
En nuestra opinión, la posible solución sería preguntar a Google, Microsoft, Mailchimp, Amazon, y a otros prestadores de servicios de USA:
1. Cuáles son las soluciones que previsiblemente van a adoptar, que no sean las SCC (Standard Contractual Clauses).
2. Si podrían garantizar que todos los tratamientos de datos se efectúen dentro de la UE, y el plazo previsible para su implementación efectiva.
En los casos de otros proveedores, sean locales y/o internacionales, hacer los mismos requerimientos.
Mientras esta situación no se resuelva, bien por el lado de las administraciones de la UE-USA, o bien por medio de los proveedores, el riesgo existe y la sanción es posible, aunque, en nuestra opinión, es poco probable a corto plazo.
Últimas entradas
- La videovigilancia en las comunidades de propietarios
- Impulso a las empresas y al contrato formativo en Madrid con una subvención de hasta 3.940 euros
- Cotización para el contrato de formación en 2021
- El contrato para la formación dual universitaria
- El permiso de paternidad en 2021 es de 16 semanas