SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS

¿Cómo afecta a las empresas la invalidez del PRIVACY SHIELD?

24/07/2020                                                                          Tiempo de lectura: 4 min

¿CÓMO AFECTA A LAS EMPRESAS LA INVALIDEZ DEL PRIVACY SHIELD?

En 2016 Estados Unidos y la Unión Europea firmaron un acuerdo para garantizar la protección de datos de usuarios europeos al otro lado del Atlántico; lo que se conoció como Privacy Shield.

También conocido como Escudo de Privacidad fue un acuerdo creado para la protección de datos. Su principal función fue la de garantizar que las empresas norteamericanas recolectaran datos de usuarios europeos cumpliendo la normativa de protección de datos personales.

El pasado 16 de julio el Tribunal de Justicia de la Unión Europea (TJUE) hizo publica una sentencia en la que se anula la decisión de la comisión que declaraba el nivel de adecuado de protección del esquema del Escudo de Privacidad para transferencias internacionales de datos a EE.UU.

Esta sentencia, cuyas implicaciones marcan un nuevo punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EE.UU., establece, a su vez, la validez “entre comillas” de las cláusulas contractuales estándar adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera la UE.

A la espera de una comunicación por parte de la Agencia Española de Protección de Datos conjunta con el resto de Autoridades europeas que garantice una aplicación armonizada de la sentencia surgen muchas dudas y preguntas.

 

 

¿POR QUÉ SE HA INVALIDADO EL PRIVACY SHIELD?

Según el comunicado del TJUE esta sentencia se produce por las limitaciones de la protección de datos personales que se derivan de la normativa interna de Estados Unidos relativa al acceso y uso, por las autoridades estadounidenses, de los datos transferidos desde la Unión.

Alegan que no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad. Es decir, que los programas de vigilancia basados en la mencionada normativa no se limitan a los datos estrictamente necesarios.

En pocas palabras, se llega a la conclusión de que EEUU no ofrece las garantías suficientes para preservar la privacidad de los datos, ya que su normativa no es suficientemente estricta para cumplir los estándares del Reglamento General de Protección de Datos.

 

 

¿QUÉ EMPRESAS ESTABAN ADHERIDAS AL PRIVACY SHIELD?

Las empresas adheridas al acuerdo, principalmente, son empresas digitales, incluyendo a Google, Apple, Microsoft, Twiter, Facebook… que utilizaban este acuerdo para transferir legalmente los datos personales de los ciudadanos europeos a sus servidores situados en EE.UU.

El Privacy Shield engloba a más de 5.300 empresas, puedes consultar el listado haciendo click AQUÍ.

 

 

¿QUÉ CONSECUENCIAS IMPLICA LA INVALIDEZ DEL PRIVACY SHIELD?

El fallo del TJUE obliga a revisar detalladamente los tratamientos de datos personales y a regularizar las muy frecuentes transferencias internacionales de datos hacia Estados Unidos, ya que pasan a ser ilegales.

Es recomendable acudir a profesionales de la privacidad y delegados de protección de datos, que estén preparados para dar seguridad jurídica y garantizar que dichos tratamientos de datos continúan siendo acordes al RGPD, bien al encauzarlos a través de cláusulas contractuales tipo, o buscando otras alternativas de índole jurídica o de negocio.

 

 

¿EXISTE UN PERIODO DE GRACIA PARA ADAPTAR LAS TRANSFERENCIAS INTERNACIONALES DE DATOS?

Por desgracia le anulación del Privacy Shield se produjo el pasado 16 de julio y desde ese mismo día aquellos tratamientos que basaban su licitud en el acuerdo dejaron de tener una base jurídica para poder realizarse. Es decir, desde el 16 de julio la exportación de datos a Estados Unidos no es legal para aquellas empresas que estaban adheridas al tratado, todas estas organizaciones deben crear instrumentos para poder legalizar esta exportación de datos por otro medio.

Ciertamente, aunque como hemos explicado no existe un periodo de gracia para la adaptación a estos cambios, pero es de suponer que la autoridad de control no sea estricta y permita a las entidades un margen de maniobra para ponerse al día.

 

 

¿QUÉ DEBEN HACER LAS EMPRESAS POR LA INVALIDEZ DEL PRIVACY SHIELD?

Cada organización debe revisar su flujo y tratamiento de datos para averiguar si efectivamente se están realizando transferencias de datos a Estados Unidos. Es necesario que se tenga en cuenta que es posible que una organización esté realizando estas transferencias y no sea consciente de ello.

 

 

¿CÓMO PUEDO SABER SI MI ORGANIZACIÓN ESTÁ TRANSFIRIENDO DATOS A ESTADOS UNIDOS?

Esta parece una pregunta tonta, si embargo en muchos casos hacer estas averiguaciones puede suponer una odisea para muchas organizaciones.

La primera tarea a realizar es hacer un listado de todos aquellos servicios externos que tienen accesos a los datos de la organización.

No olvides en esta relación los proveedores de software que pueden guardar o acceder a tu información por motivos técnicos o que almacenan o gestionan las copias de seguridad, esto incluye la gestión de las copias de seguridad de tu página web que puede recopilar datos a través de las cookies o de los formularios de contacto o suscripción.

Seguramente también tendrán acceso a tus datos los servicios de videollamadas, los gestores de correo electrónico, las servicios de agenda, las extensiones de los navegadores, aquellos programas que utilizas para el envío masivo de datos, para compartir datos ahora que es más frecuente el teletrabajo, el software usado para el envío masivo de comunicaciones comerciales, los CRM o ERP, etc.

Cuando tengas en tus manos el listado, el siguiente paso es averiguar la ubicación de cada servicio y marcar los que tengan su sede en Estados Unidos.

Que su ubicación no esté localizada en EE.UU, a priori, no significa que no puedan estar transfiriendo tus datos allí. Muchas empresas subcontratan algunos servicios que son necesarios para gestionar el servicio que te prestan, como por ejemplo el almacenamiento de datos. Te puedes encontrar con la situación de que tu servicio externo esté ubicado en la Unión Europea pero que tenga contratado un servicio ubicado en Estados Unidos y que si tenga acceso a los datos de tu organización.

Como hemos dicho averiguar si estás transfiriendo datos a Estados Unidos puede volverse bastante complicado, incluso es posible que, al preguntar, uno de tus servicios te indique que tus datos están almacenados en sus servidores pero que no pueda facilitarte su localización exacta.

Una herramienta útil es leer la política de privacidad de estos servicios, en teoría deben especificarte si están realizando transferencias internacionales de datos.

Sin duda quien mejor te puede ayudar en este campo es tu experto, si dispones de un servicio externo de asesoramiento para el cumplimiento de la protección de datos personales ellos han debido contactar contigo y te han debido avisar si estas realizando este tipo de transferencias y darte las opciones y herramientas necesarias para poder solucionar este tema.

 

 

¿SE DEBEN DEJAR DE UTILIZAR LOS SERVICIOS DE EMPRESAS UBICADAS EN ESTADOS UNIDOS?

En principio la normativa de protección de datos ofrece algunas alternativas para aquellas entidades que no estaban adheridas al Privacy Shield, sin duda, estas opciones no son ni de lejos tan sencillas.

La opción más viable es la adopción de cláusulas contractuales tipo, son un tipo de instrumento que permite realizar las transferencias internacionales con garantías, mediante la suscripción de un contrato entre el exportador e importador de la información por el que, este último, se compromete a tratar la información de un modo respetuoso al Derecho europeo de protección de datos.

A la espera de que las autoridades puedan ofrecernos un canal más efectivo y sencillo, esta debe ser la opción a tomar aunque desde el punto de visto de la lógica no puede ser la solución definitiva.

 

 

¿QUÉ SON LAS CLÁUSULAS CONTRACTUALES TIPO Y QUÉ DEBEN CONTENER?

Las cláusulas contractuales tipo una serie de condiciones que se deben incluir en un contrato a firmar entre el exportador y el importador de datos. En ellas, el importador de datos se compromete a tratar la información de un modo respetuoso al Derecho europeo de protección de datos.

Estas condiciones deben estipular las medidas de seguridad técnicas y organizativas necesarias que han de aplicar los encargados de tratamiento (importadores de los datos) establecidos en un país que no ofrece la protección adecuada con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse.

El importador de datos debe declarar que tratará los datos transferidos solo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas.

Un punto clave de este contrato es que el importador de datos en dicho acuerdo debe comprometerse a no revelar los datos personales a terceros sin el consentimiento por escrito previo del exportador de datos. De aquí surge el problema en el uso de estas cláusulas, de la imposibilidad del importador de cumplir el acuerdo ante una petición de datos del estado amparado en una legislación en vigor.

 

 

¿POR QUÉ LAS CLÁUSULAS CONTRACTUALES TIPO SON UNA SOLUCIÓN TEMPORAL?

Para entender este argumento debemos remontarnos en el tiempo al primer acuerdo que se produjo con Estados Unidos para poder transferir datos a su territorio de manera segura.

Este primer acuerdo se llamó Safe Harbour (puerto seguro) entró en vigor en 1998 y fue anulado para ser sustituido por otro nuevo acuerdo que favoreciera la colaboración con las autoridades europeas e implicara una supervisión por parte del Departamento de Comercio de Estados Unidos.

Este último acuerdo, el Privacy Shield, generó en su momento mucha controversia pero sin duda el cambio de la normativa de protección de datos por parte de la Unión Europea en 2018 y las actuales regulaciones adoptadas por el EE.UU. por motivos de seguridad nacional propiciaron la incompatibilidad de este acuerdo.

La preocupación más acuciante de la Unión Europea proviene del incumplimiento actual del principio de proporcionalidad recogido en el nuestro Reglamento General de Protección de Datos, pues las regulaciones adoptadas recientemente permiten al gobierno poder acceder una cantidad de datos que se consideran excesivos teniendo en cuenta que la finalidad es preservar la seguridad nacional.

Llegados a este punto es inevitable llegar a la conclusión de que cualquier entidad que tenga su sede en Estados Unidos está sometida al cumplimiento de las legislación de su país, si el TJUE ha considerado que estas leyes no permiten que sea posible que el Privacy Shield preserve la privacidad de los ciudadanos de la Unión Europea, podemos llegar a la conclusión de que la decisión de una empresa de adoptar unas cláusulas contractuales tipo, tampoco va a permitir preservar dicha privacidad, pues no exime a las organizaciones del cumplimiento de las leyes establecidas en Estados Unidos.

 

 

¿CÓMO SOLUCIONAR EL PROBLEMA CON LAS TRANSFERENCIAS DE DATOS A ESTADOS UNIDOS?

La primera recomendación es la de valorar la real necesidad de realizar transferencias internacionales a Estados Unidos y la posibilidad de cambiar de proveedor mientras las autoridades de control lleguen a un acuerdo. La realidad es que la invalidez del Privacy Shield hace que estas transferencias de datos sean ilegales desde hace ya días y las organizaciones pueden estar expuestas a sanciones.

Cuando esta opción sea del todo inviable, y mientras no haya una decisión de la Comisión, la opción aconsejable es la firma de unas cláusulas contractuales tipo entre el importador y el exportador. Estas cláusulas, de momento, no han sido invalidadas por la sentencia del TJUE, simplemente se ha remarcado de estos acuerdos que deben valorarse caso por caso.

El gran problema de adoptar esta vía es la imposibilidad de poder contactar con algunas empresas y la escasa viabilidad de conseguir la firma de una acuerdo con las mismas. Sin embargo es de esperar que sean las propias empresas las que vayan incorporando dichas condiciones en sus políticas de privacidad.

Si todos estos método nos fallan siempre se puede recurrir a otras garantías como puede ser la de solicitar un consentimiento expreso a cada interesado para poder realizarlas, pero sería necesario que previamente a la solicitud de consentimiento se detallaran los riesgos a los que pueden quedar expuestos por estas transferencias e datos.

La última opción es la adhesión a códigos de conducta o mecanismos de certificación, que deben ir acompañados de compromisos de aplicación de las garantías adecuadas y exigibles a las entidades.

 

 

 

Si te ha resultado interesante el artículo síguenos en redes sociales…

Suscríbete a NEWS

13 + 3 =

Decálogo de medidas para una PYME SEGURA

Decálogo de medidas para una PYME SEGURA

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/09/2020                                                                          Tiempo de lectura: 4 min LinkedIn Facebook Twitter Youtube El buen funcionamiento, e incluso la supervivencia , de...

leer más

Uso de cookies

Este sitio web únicamente utiliza cookies propias con finalidad técnica, no recaba ni cede datos de carácter personal de sus usuarios sin su consentimiento. Sin embargo, contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que usted podrá decidir si acepta o no cuando acceda a ellos. Para más información pulse AQUÍ ACEPTAR

Aviso de cookies