El 16 de julio la AEPD emitió un comunicado para anunciar que, a partir de ese mismo día, el acuerdo Privacy Shield quedaba sin efecto por sentencia del Tribunal de Justicia de la UE en el caso C-311/18 conocido como Schrems II (DPC v Facebook Ireland Limited, Maximilian Schrems) 1 .
En dicho comunicado, también se pronunciaba sobre la validez de la decisión 2010/87 sobre las Cláusulas Contractuales Estándares, manteniendo su vigencia. Esto no significa que las CCE importan una protección automática. Al contrario. Recordemos que la resolución de la comisión establece que “el nivel de protección de datos debe evaluarse a la luz de todas las circunstancias de la operación de transferencia de datos o sucesión de las mismas”. Es decir, los mecanismos de protección deben garantizar como mínimo un nivel equivalente al garantizado en la UE por el RGPD, y esta obligación para ambas partes está establecida en dicha decisión.
Antecedentes
En el año 2013, Edward Snowden dio a conocer el programa PRISM de vigilancia masiva, por el cual la NSA (Agencia Nacional de Seguridad) tenía acceso directo 2 a los sistemas de Google, Facebook, Apple, Microsoft, Yahoo, y otras tecnológicas de EE. UU., para obtener las comunicaciones electrónicas de no estadounidenses 3 . Estas comunicaciones incluyen historial de búsqueda, el contenido de correos electrónicos, archivos transferidos y chats.
Ese mismo año, Max Schrems, un abogado austríaco y activista de privacidad de datos, fundador de NOYB, entabló una demanda contra Facebook ante la Agencia Irlandesa de Protección de Datos (DPC), dado que esta compañía, como el resto de las Big Tech estadounidenses, tienen su sede europea en dicho país.
Facebook Ireland transfiere datos de sus usuarios europeos a servidores de la matriz en Estados Unidos. Schrems peticionó al DPC la prohibición de la transferencia y el tratamiento de datos personales de usuarios europeos en servidores estadounidenses, en base a las actividades de vigilancia de los servicios de inteligencia, y que la ley estadounidense no proporciona un nivel de protección suficiente a los datos en Estados Unidos. Esa transferencia se amparaba en los principios del “Safe Harbor” 4 . El TJUE se expidió sobre la invalidez de dichos principios 5 , y finalmente, la transferencia de datos entre la matriz estadounidense y la sede europea de Facebook finalmente se concretó bajo el amparo de las CCE. Luego, en julio de 2016, se adoptó un nuevo acuerdo, el Privacy Shield.
Schrems objetó que las CCE no podían en la práctica ser protección suficiente dado que las empresas estadounidenses tienen la obligación legal de entregar información a las autoridades de dicho país, y que, por lo tanto, el DPC debería haber suspendido la transferencia de datos en base a la decisión de la comisión de las CCE.
Al no poder expedirse, el DPC inició una acción ante la Corte irlandesa, que, a su vez, refirió el caso al TJUE.
Preguntas Frecuentes
1) ¿En qué me afecta la caída del Privacy Shield?
Si su proveedor de servicios de comunicaciones electrónicas se encuentra registrado en la siguiente lista o se anuncia en su propia página como firmante del Privacy Shield, significa que ese proveedor es importador de datos a EE.UU. y, por lo tanto, la transferencia de datos bajo ese marco ya no es legal.
2) He contratado con la sede europea, ¿por qué debería afectarme?
La legislación estadounidense tiene jurisdicción sobre empresas de ese país fuera de su territorio. El TJUE consideró en su sentencia, que, en esencia, la legislación estadounidense (en particular, el art. 702 de la ley FISA y el decreto EO 12333, ver nota vi “cronología legal” al pie) no garantiza un nivel de protección a ciudadanos europeos equivalente al del RGPD, dado que las autoridades tienen acceso a las comunicaciones electrónicas en poder de proveedores estadounidenses independientemente de donde tenga sede la empresa o los servidores.
3) La validez de las Cláusulas Contractuales Estándar no se puso en duda en la sentencia. ¿Por qué no puedo aplicarlas, o aplicar las Normas Corporativas Vinculantes?
Dado el conflicto jurisdiccional y el alcance de las leyes estadounidenses, es poco probable que las CCE o las Normas Corporativas Vinculantes puedan ofrecer protección suficiente y adecuado al nivel exigido por el RGPD en la práctica. Cabe recordar que, si bien las CCE y las NCV tienen validez entre las partes, pero las leyes tienen precedencia sobre cualquier acuerdo entre privados—en este caso, se trata de leyes de comunicaciones y seguridad nacional de los EE. UU.
Deben analizarse los riesgos y los mecanismos técnicos inherentes a dicha transferencia, así como evaluar alternativas.
Si llega a la conclusión de que, teniendo en cuenta las circunstancias de la transferencia y las posibles medidas complementarias, no se garantizarían las garantías adecuadas, deberá suspender o finalizar la transferencia de datos personales fuera de la UE. Sin embargo, si tiene la intención de seguir transfiriendo datos a pesar de esta conclusión, debe notificar a su Autoridad de Supervisión competente
4) ¿Cuáles son las consecuencias de incumplir con la protección de datos?
Multas de hasta 4% de los ingresos anuales de una empresa, o de hasta 20 millones de euros.
5) ¿Cuánto tiempo tengo para implementar otras medidas?
La sentencia del TJUE no establece período de gracia. La sentencia entró en vigor el 16 de julio de 2020.
6) ¿Qué mecanismos puedo implementar para cumplir con RGPD?
La solución ideal sería un nuevo acuerdo marco entre la UE y los EE. UU., consideran expertos como Leandro Nuñez de Audens, despacho especializado en Nuevas Tecnologías y Privacidad de Datos. Esta solución sin embargo es lejana. Se trata de un conflicto legal internacional. 6
Dado que la FISA (art. 702) estará vigente hasta el año 2023, y salvo que se modifiquen los artículos que afectan la protección de datos, los administradores o responsables de datos pueden seguir las recomendaciones de la Comisión Europea de Protección de Datos:
- Identifique donde se encuentran sus datos y hacia donde se transfieren, verificando donde se encuentra la sede de su proveedor y el datacenter.
- Clasifique los datos por nivel de confidencialidad: Confidencial (ultrasecreto: información del consejo y alta dirección, departamento jurídico, M&A, propiedad intelectual, etc.), Restringido (nivel medio de confidencialidad), Interno (nivel bajo), Público (acceso público disponible).
- Analice los riesgos de transferencia para verificar si efectivamente el proveedor de servicios puede cumplir con el nivel de protección establecido en el RGPD.
- Cuando tenga dudas, podría implementar un acuerdo por el cual, siempre que haya un requerimiento de obtención de datos por parte de las autoridades, el proveedor debe informar a la empresa que transfiere datos fuera de la UE de modo que pueda tomar las medidas pertinentes. En este caso, el proveedor se enfrenta a incumplir las leyes de su país o el contrato con su cliente, y las leyes siempre tienen precedencia.
- Cuando no existan las garantías adecuadas, deberá suspender o finalizar la transferencia de datos personales fuera de la UE, y transferir nuevamente los datos a la UE.
- Planifique una migración a un proveedor europeo.
De no poder implementar una migración completa de inmediato, puede ejecutarla por etapas. En tal caso, comience por migrar la información clasificada como confidencial y restringida.
En conclusión, la caída del Privacy Shield por motivo del conflicto entre la legislación de los EE. UU. y la UE, y la inexistencia de un período de gracia, impone a las empresas europeas la obligación de tomar medidas concretas. No se vislumbra la posibilidad de un nuevo acuerdo a corto plazo, considerando que una de las leyes que lo ha originado tiene vigencia hasta el 2023. Y ese no es el único factor que influye—existen varios, de índole política y diplomática.
La responsabilidad recae no solo sobre los DPO, sino sobre todos los que tratan información confidencial que pueda contener datos sensibles: los responsables de Compliance, Directores Jurídicos, de GRC, Comités de auditoría y los administradores de la sociedad, pues cuando la información es recopilada, se obtiene en bloques y no de forma aislada.
Habiendo tanto en juego, la solución más práctica y sencilla para ahorrar quebraderos de cabeza y prevenir multas es cambiar a un proveedor con sede y datacenter europeos como ya han indicado varias agencias de protección de datos (Berlín, con influencia en todo el país, Países Bajos, etc.)
DiliTrust tiene 25 años de trayectoria trabajando por la privacidad y seguridad de los datos de sus clientes.
Como fabricante europeo de soluciones de Governance para la Gestión de Consejos de Administración, la Gestión Jurídica Integral (gestión de sociedades y poderes, contratos y litigios) y el Intercambio Seguro de Información, ofrece las garantías requeridas por el RGPD y este nuevo contexto.
DiliTrust cuenta con certificación 27001 (soluciones, empresa y servidores franceses certificados) y desarrolla sus soluciones con el principio Security by Design.
Si desea conocer más sobre como DiliTrust puede apoyarle a hacer más eficiente su gestión de una manera segura, y en total cumplimiento con leyes europeas, póngase en contacto con nosotros para solicitar una demo sin compromiso.
Fuentes :
Guía de la Comisión Europea de Protección de Datos – Preguntas Frecuentes
Sentencia TJUE sobre caso Schrems II
Decisión 2010/87 (Sobre los niveles de privacidad de las CCE y NCV)
NOYB: Antecedentes Caso Schrems
1 : El Tribunal de Justicia de la UE declaró inválida la decisión 2016/2297 de la comisión en la que se aceptaba como adecuada la protección del Safe Harbor, el antecedente del Privacy Shield.
2 : NSA Prism program taps in to user data of Apple, Google and others
3: Los ciudadanos y residentes estadounidenses cuentan con protección constitucional en procesos de privacidad en EE. UU. No así los ciudadanos de otros países.
4: Los principios del Safe Harbor, emitidos por el Departamento de Comercio de los Estados Unidos, fueron adoptados por la CE mediante decisión de la CE 2000/520, en la que operaba una presunción de adecuación del nivel de privacidad.
5: El Tribunal entendió que dado que los datos personales transferidos bajo los principios del Safe Harbor podían ser accedidos por las autoridades estadounidenses con sus programas de vigilancia en un modo que era incompatible con el motivo por el cual se habían transferido.
6: CRONOLOGÍA LEGAL
- 1978: La FISA (Ley Federal de Vigilancia Extranjera) se sancionó por primera vez en el año 1978 con vigencia temporal y ha sufrido diversas modificaciones que extienden su validez. Esta ley no requiere a las autoridades una orden judicial para acceder a los datos. La última renovación data del año 2018, hasta 2023.
- 1981: Se emite el secreto presidencial EO 12333 sobre inteligencia, por primera vez. La última modificación data de 2008.
- 2000: Emisión y adopción de los Principios del Safe Harbor.
- 2001: A raíz del 9/11 se sancionó la ley PATRIOT. Esta ley amplia la definición de inteligencia extranjera para incluir las capacidades, intenciones y actividades de entidades y personas extranjeras, cuya información puede obtener un fiscal en el transcurso de una investigación.
- 2008: Se incorpora el artículo 702. El programa PRISM operó bajo este artículo.
- 2013: Episodio Edward Snowden. Revela públicamente la vigilancia masiva de datos incluyendo contenido y metadatos. Metadatos son: números de teléfono, direcciones de correo electrónico y nombres de usuario, datos de geolocalización, fecha y hora de tus llamadas telefónicas, correos electrónicos, archivos y fotografías, y registro de actividad.
- 2015: Caída del Safe Harbor.
- 2016: Entrada en vigor del Privacy Shield.
- Enero 2018: Renovación del artículo 702 (FISA). Vale mencionar que este artículo genera controversia en EE. UU. y diversas asociaciones de libertades civiles han iniciado acciones.
- Marzo 2018: Sanción de la ley CLOUD que habilita el acceso a datos fuera del territorio de los Estados Unidos, previa orden judicial, luego del caso Microsoft Ireland.
- Mayo 2018: Entrada en vigor del RGPD.
- 2020: Caída del Privacy Shield.