Anulación del acuerdo UE-EEUU Privacy Shield
ANULACIÓN DEL ACUERDO USA-UE DE PRIVACY SHIELD
La situación actual en relación con la anulación del Privacy Shield es muy confusa.
Muchas empresas, Grandes, Medianas, Pymes, y profesionales autónomos, sin ser conscientes de ello, utilizan muchas veces aplicaciones y servicios radicados en los EEUU, por ejemplo, Google con G-Mail, G-Docs, G-Drive, G-Meet y otros, Microsoft con Office 365, MS-Teams, videoconferencia con ZOOM, servicios en la nube como Dropbox, mailings con Mailchimp, mensajería con Whatsapp, Telegram, servidores web situados en EEUU como Godaddy y otros, presencia institucional en Redes Sociales: Facebook, Instagram, Linkedin, también utilizando servicios web como Google Analitics y otros rastreadores, publicidad on-line, y un número indeterminado de situaciones en las que, sin conocimiento del usuario, se están exportando datos a EEUU.
Para estas exportaciones-transferencias internacionales de datos con EEUU, existe un acuerdo entre la UE y EEUU, el ya citado Privacy Shield, por el que las empresas de EEUU se autocertifican y pueden tratar datos desde la UE sin necesidad de hacer tramites farragosos ni solicitar consentimientos-autorizaciones complicados de obtener.
Esta situación ha facilitado el tráfico de datos y la posibilidad de contratar proveedores cuyos servicios y/o tratamientos se alojan en los EEUU.
Pero ahora tenemos el hecho objetivo de:
– La anulación por el Tribunal de Justicio de la UE, por sentencia de 16-julio-2020, del acuerdo de PRIVACY SHIELD entre USA-UE por el que se facilitaba el flujo de datos personales.
– Esta anulación viene determinada porque las leyes americanas permiten el acceso sin restricciones por la NSA y el FBI-CIA a datos personales alojados en servidores/empresas USA sin necesidad de mandamiento judicial, supuestamente para asuntos de seguridad nacional, aunque esto no se verifica por un órgano judicial, por lo que las garantías para los ciudadanos europeos no son equivalentes a las existentes en la UE.
– En la sentencia NO se anulan las Cláusulas Contractuales Tipo, que es otro mecanismo de autorización para el flujo de datos, aunque en la sentencia se establece que se requieren acciones adicionales (no se especifican cuales) para garantizar la protección de los datos.
Es por esto que por ejemplo se ha podido recibir hace pocos días una comunicación de Google donde decía que habían cambiado la legitimación de los servicios desde Privacy Shield hacia Cláusulas Contractuales Tipo.
El día 3-sept-2020 se celebró una videoconferencia/seminario de la APEP con representantes de la AEPD y otros reputados profesionales del sector, y se llegó a la conclusión que ya se sabía desde el mismo momento de la sentencia del TJUE:
– El problema ES la legislación de EEUU que permite el acceso sin restricciones a los datos por las Agencias Gubernamentales, por lo que se impide DE FACTO la posibilidad de que actualmente se pueda establecer ningún mecanismo simple que permita el flujo de datos mientras esta legislación no cambie, lo que no parece que vaya a ocurrir a corto plazo.
El único mecanismo que queda disponible para poder exportar datos desde la UE hacia EEUU es el consentimiento libre, específico, inequívoco, e informado, de TODOS y cada uno de los interesados para que sus datos puedan exportarse a USA.
– Esta base de legitimación, en nuestra opinión, es totalmente inviable para los sistemas de tratamiento actuales que estén en funcionamiento, ya que establecer un mecanismo para conseguir que a todos los interesados se les requiera el consentimiento, que lo consientan (pero que habrá un número significativo que no lo darán por múltiples motivos), que se eliminen los de los tratamientos a los que no se consiga su consentimiento, etc… Este es un problema que considero de imposible solución práctica.
– Solamente tendría sentido para un tratamiento que se inicie de cero, en el que en las condiciones de inclusión en el tratamiento se indique esta premisa.
Una solución idónea posible sería requerir a la empresa actual que presta los servicios que estos se efectúen dentro de la UE, o trasladar los servicios actuales a una empresa que garantice que los datos van a estar tratados y alojados SIEMPRE dentro de la UE. Desconozco si existe una empresa europea o de USA que pueda prestar los servicios dentro de la UE con los mismos niveles de solvencia y de precios, por ejemplo, que los que presta GOOGLE a nivel mundial.
Por otro lado, la UE y el Departamento de Comercio USA llevan ya unas tres semanas revisando la situación y tratando de solucionar este ENORME problema, pero parece que llevará un tiempo (indeterminado) llegar a conclusiones viables que no sean tumbadas de nuevo por el TJUE.
¿Cuáles son las posiciones de las Autoridades de Protección de Datos de la UE a este respecto?
Pues variadas y contradictorias, desde la Autoridad de Berlín que sostiene que deben cesar ya, a la Autoridad de UK que dice que se debe esperar a ver qué pasa.
La Agencia Española de Protección de Datos todavía no se ha pronunciado al respecto, al menos oficialmente.
La cruda realidad es:
– Los promotores de la demanda de anulación del Privacy Shield ante el TJUE ya están denunciando a grandes empresas USA, e incluso a entidades españolas:
El lunes 17 de agosto Schrems anunciaba -a través de su organización NOYB (None of Your Business) de la que ha hecho su modus vivendi- su campaña de 101 quejas (con ilustración de los 101 dálmatas de Disney incluida). El austriaco ha presentado reclamaciones en todas las autoridades de protección de datos europeas contra 101 web europeas además de contra Google y Facebook sobre que, pese a “su sentencia” Schrems II esas webs siguen usando Google Analytics o Facebook Connect y transfiriendo datos a Estados Unidos. Entre las empresas españolas denunciadas, se encuentran la Real Academia Española, eDreams o El País de los juegos-Poki.
– Las empresas españolas que utilizan servicios basados total o parcialmente en USA están en riesgo de infracción por Transferencia Internacional de Datos sin autorización ni base de legitimación adecuada.
La situación viene complicándose por momentos:
La red social ha recibido una orden preliminar por parte de la Comisión de Protección de Datos de Irlanda, que establece que la compañía ya no podrá enviar los datos de sus usuarios europeos a sus servidores en Estados Unidos. Se trata de la primera acción contra una compañía tecnológica, después de que la justicia europea decidiera anular el Privacy Shield, en julio.
Respuesta de Facebook a la Autoridad de Protección de datos de Irlanda, de fecha 21-setp-2202:
Facebook ha comunicado al Tribunal Supremo de Irlanda que no ve posible seguir operando en Europa si los reguladores de dicho país paralizan la transferencia de datos personales a Estados Unidos, según informó ayer el periódico The Sunday Business Post, citado por Reuters. “No está claro cómo, en esas circunstancias, [la compañía] podría continuar brindando los servicios de Facebook e Instagram en la UE”, aseguró Yvonne Cunnane, directora de Protección de Datos de la empresa en Irlanda, en una declaración jurada presentada ante el tribunal a la que ha tenido acceso dicho medio.
Otra noticia sobre esta cuestión:
Facebook fears ruling may force it to pull social media platforms from EU
Court filings show tech giant doesn’t believe it can convince Data Protection Commission to overturn preliminary ruling that bans transfer of data from EU to US
Esta dinámica generada puede llegar a afectar al resto de los servicios que se prestan por empresas USA que utilizan servidores en USA, aunque sean de paso y como balanceo de cargas de tráfico de datos, por ejemplo, otros posibles afectados podrían ser:
Telegram
Mailchimp
Zoom
eDreams
Booking.com
Dropbox y otros almacenamientos en la nube, como AWS
Servicios de Google: Gmail – Gmeet –
Etc etc etc….
¿Qué soluciones se pueden tratar de implementar?
En nuestra opinión, sería preguntar a Google, Microsoft, Mailchimp, Amazon, y a otros prestadores de servicios USA:
– Cuáles son las soluciones que previsiblemente van a adoptar, que no sean las SCC (Standard Contractual Clauses)
– Si podrían garantizar que todos los tratamientos de datos se efectúen dentro de la UE, y el plazo previsible para su implementación efectiva
En los casos de otros proveedores, sean locales y/o internacionales, hacerles los mismos requerimientos.
Mientras esta situación no se resuelva, bien por el lado de las administraciones de la UE-USA, o bien por medio de los proveedores, el riesgo existe y la sanción es posible, aunque, en nuestra opinión, es poco probable a corto plazo.
Si tiene dudas acerca de cómo puede afectarle la anulación del acuerdo Privacy Shield nos tiene a su disposición, desde MCA Consultores estaremos encantados en atenderle.