Etiquetas
Publicado por

Las razones del NO de Europa a las transferencias de datos a EE UU

 Luisondome



28 de Febrero, 2023


Las grandes compañías tecnológicas americanas como Meta, Google, Amazon u otras a las que mas recientemente se le han añadido otras chinas, como Ali Babá o TikTok, no cesan de recopilar datos de los ciudadanos europeos, datos que se están exportando fuera de las fronteras de la Unión Europea hacia EE UU o China, y por lo tanto quedan fuera de todo control que nos proteja a los ciudadanos europeos de los usos y los abusos que se puedan cometer con estos datos, que por otra parte son un lucrativo negocio para las empresas que los procesan para venderlos, y una fuente de información inagotable para los gobiernos que acaban teniendo acceso a estos datos.


La protección de los datos


A mediados de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) sentenció que el acuerdo vigente hasta entonces entre Washington y Bruselas para dar soporte legal a esas transferencias no era válido. Desde entonces y sobre el papel, los datos que recopilaban multinacionales como Meta, Google u otras, no pueden viajar a EEUU, pero en la práctica las transferencias de datos se siguen sucediendo y no se han detenido. En la citada sentencia, el TJUE entendió que aquel acuerdo conocido como Privacy Shield, no ofrecía las suficientes garantías como para evitar que los ciudadanos europeos fuesen víctimas de la hipervigilancia que realizan las agencias gubernamentales de EEUU, y especialmente la NSA, sobre determinadas personas e instituciones, o el Gobierno Chino en el caso de las multinacionales de ese país, por el férreo control que ejerce sobre ellas. Mientras, las tecnológicas se quejan de que necesitan transferir los datos al otro lado del Atlántico donde están sus centros de procesamiento para poder procesarlos, para que estos puedan ser vendidos, una vez procesados y segmentados, a sus clientes.


Para subsanar la situación, en la última visita del presidente de EEUU Joe Biden a Europa, haciendo caso a las presiones que sobre el Gobierno Federal ejercían las grandes tecnológicas, este y la presidenta de la Comisión Europea, Ursula von der Leyen, firmaron en marzo de 2022 un acuerdo a través del cual buscarían la fórmula con la que estas transferencias de datos internacionales pudiesen volver a tener un soporte legal para ser enviados a los EE UU.


Tras la firma de este acuerdo, los europeos reconocieron, aunque no convencieron,  en octubre 2022 las concesiones de EEUU. Posteriormente, Biden firmó una orden ejecutiva, la cual no ofrece a Europa las garantías suficientes que requiere, porque aunque la orden ejecutiva limite los tratamientos que se den a los datos por parte de las agencias de seguridad nacionales a aquellos objetivos "legítimos" que estas pudieran considerar como tal, esto podría cambiar. El presidente de los EEUU puede ampliar en cualquier momento la lista de objetivos legítimos de seguridad nacional y decidir no hacer públicas las actualizaciones pertinentes sobre esa misma orden ejecutiva, por lo que en Europa ni nos enteraríamos de estos cambios que afectarían a la seguridad de nuestros datos


Esa falta de confianza por parte de Europa en lo escrito por parte de la Administración Biden, supone uno de los principales escollos para volver a amparar las citadas transferencias. El acuerdo de transferencia de datos entre EEUU y la Unión Europea que dejó de ser válido en 2020, decayó por la sentencia del TJUE que recibió el nombre de Schrems-II. Schrems es el apellido de Max Schrems, el activista en defensa de la privacidad que interpuso la demanda.


Así está en este momento el borrador que ahora debe aceptar la Comisión Europea. Sin embargo, expertos en privacidad ya abundaron en que probablemente esa orden ejecutiva estadounidense no satisfaría los parámetros legales que establecen normas como el Reglamento General de Protección de Datos (RGPD)


Ahora es el turno de la Comisión de Libertades Civiles, Justicia e Interior (LIBE) del Parlamento Europeo, que se reúne mañana miércoles 1 de marzo para debatir una resolución en cuyo borrador ya se da un rotundo ‘NO’ a amparar las transferencias de datos personales desde el Viejo Continente a Estados Unidos. En la sesión se podrán conocer así mismo las conclusiones que ha alcanzado el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), el órgano que aglutina a las agencias de protección de datos de los países miembros. 


En el caso de que la Comisión Europea acepte la orden ejecutiva de Biden como garantía para crear un nuevo marco de transferencias de datos, a pesar de las conclusiones del EDPB o del Parlamento Europeo, no hay garantías de que no se puedan presentar nuevas demandas ante los tribunales para impugnar los acuerdos para que estos sean anulados, con lo que volveríamos a estar como al principio. Y es que lo mas difícil de recomponer, es la confianza entre instituciones y empresas, que en lo que respecta a la protección de los datos es mínima, o prácticamente inexistente en el momento presente.


La protección de los usuarios


Esta enquistada batalla legal sobre transferencias de datos personales entre Europa y los EE UU, no solo afectan a las multinacionales tecnológicas al otro lado del charco, sino que nos afecta a todos nosotros:

  • A los usuarios: Nuestros datos, a día de hoy, siguen viajando de forma arriesgada a América y a China con un procesado que no cumple con los estándares y garantías del Reglamento General de Protección de Datos. 
  • A los posibles emprendedores o empresarios: si usan herramientas que transfieren datos a EE UU, se juegan una sanción.

Estas sanciones las pueden imponer los organismos de control del RGPD. En el caso de España, es la Agencia Española de Protección de Datos (AEPD) la que podría imponer sanciones por vulnerar el RGPD al entender que muchas empresas, haciendo uso de herramientas de marketing tan comunes como Google Analytics, están transfiriendo datos a EE UU sin amparo legal.


Que todavía no haya sucedido, no quiere decir que no pueda suceder. Francia ya entendió que estas transferencias de datos eran ilegales, atendiendo la sentencia del TJUE, e incluso el Supervisor Europeo de Protección de Datos, apercibió a la Eurocámara por usar Google Analytics, favoreciendo esas transferencias consideradas ilegales desde 2020.


La RAE (Real Academia de la Lengua de España) se libró por los pelos a finales del año pasado de un apercibimiento por transferir datos a Google, puesto que la web de la Real Academia Española dejó de usar Google Analytics a finales de 2020. La Agencia Española de Protección de Datos entendió que la entidad había vulnerado el RGPD pero archivó sus actuaciones dado que ya se había corregido y subsanado el error.


Todo el sector está en vilo con lo que puede pasar en las próximas semanas. Irlanda ya ha amenazado con bloquear todas estas transferencias. En un escenario más optimista —para la certidumbre jurídica de la industria digital—, Bruselas ignorará los informes no vinculantes de la Eurocámara, y el acuerdo para transferir datos a EEUU podría reactivarse este verano, pero es improbable que eso suceda. La propia AEPD explicita de forma muy clara en su página web que la Comisión Europea tiene decisiones de adecuación —un mecanismo legal con el que se acepta que un país extranjero sea receptor de datos personales europeos— con diversos estados.


Estos estados son Suiza desde el año 2000, Canadá desde 2002, Argentina y Guernsey desde 2003, Isla de Man desde 2004, Jersey desde 2008, las Islas Feroe y Andorra desde 2010, Israel desde 2011, Uruguay desde 2012, Nueva Zelanda desde 2013, Japón desde 2019 y Reino Unido y Corea del Sur desde 2021. Todo esto implica que si tienes un negocio en el que tratas datos personales de tus clientes o proveedores, lo más recomendable es que uses herramientas que no remitan esos datos a países que no figuren en esa lista o no formen parte de la Unión Europea, como es el caso de EEUU.


Además de hacer transferencias de datos a esos países —o contar con herramientas de proveedores afincados en los mismos—, existe una alternativa: las cláusulas contractuales tipo, que son un tipo de cláusulas que se pueden incluir en los contratos que particulares y organismos firmen cuando se va a realizar una transferencia de datos al extranjero.


Esas cláusulas tipo pueden ser aportadas por la Comisión Europea o por un organismo regulador —la propia AEPD— y puede motivar esas transferencias. Las cláusulas tipo de la Comisión fueron sustituidas precisamente a instancias de la sentencia Schrems-II, y el período transitorio para hacer uso de las nuevas terminó en diciembre de 2022.


Sin embargo, esas cláusulas contractuales tipo no sirven para exportar o colaborar en la exportación de datos personales a EEUU. Lo que sí sucede con otros países, no es posible aplicarlo a EEUU, ya que la sentencia de 2020 es clara sobre los riesgos en el tratamiento de datos personales allí.


La AEPD abre la puerta a hacer uso, además de estas cláusulas tipo, de códigos corporativos, certificados, y un sinfín de excepciones posibles que en ningún caso se pueden aplicar a la hora de transferir datos personales a EEUU. Sin embargo, muchas empresas siguen haciendo uso de herramientas que están basadas allí. Google Analytics es un buen ejemplo.


Ante esta tesitura, los expertos hablan claro. Si el problema ante la ausencia de mecanismos para transferir datos a EEUU persiste, lo mejor es cumplir escrupulosamente el Reglamento General de Protección de Datos optando por herramientas fuera de EEUU, con especial predilección por aquellas que se asienten sobre suelo europeo


Es la opinión de Alexander Ingelheim, un aleman que se dedica a la protección de datos, y que en este artículo desgrana por qué es necesario buscar alternativas a empresas estadounidenses. Aclara que empresas jóvenes o que acaban de nacer tienen más flexibilidad a la hora de elegir "una herramienta de marketing, de contabilidad o de recursos humanos".


Por eso también aconseja que aquellas empresas que no puedan prescindir de un proveedor estadounidense de la noche a la mañana incluyan en sus contratos evaluaciones de impacto de transferencias de datos y apliquen cláusulas tipo en la medida de lo posible. La opinión de Ingelheim la comparte desde España Gonzalo Oliver, especialista en protección de datos y en ciberseguridad en OZONIA Consultores, además de miembro de la Asociación Española de Delegados de Protección de Datos.


Oliver confirma que las sanciones económicas podrían recaer directamente en empresas españolas que trabajen con proveedores que no ofrezcan garantías para con el RGPD: el artículo 28 ya exige a los tratamientos de datos derivados de esas relaciones comerciales que se suscriba un contrato de tratamiento de datos siempre. Oliver, en ese sentido, es categórico y da 2 consejos:

  • No usar nada que transfiera datos internacionales a Estados Unidos. 
  • A la hora de buscar una alternativa, "elegir una empresa dentro de la Unión Europea o de un país considerado puerto seguro por la Unión Europea". 

El propio Oliver reconoce que ya ha recomendado a muchos de sus clientes  que busquen alternativas. Los proveedores no son únicamente Google o Meta, aunque estas dos grandes tecnológicas sean las que son más señaladas por todo el conflicto en torno a las transferencias de datos, no son las únicas. Hay muchas mas, no tan conocidas, no tan grandes, pero que también transfieren datos de Europa a los EE UU y no están tan en el foco de la lupa de las Agencias de Protección de Datos Europeas.


Fuente: Business Insider

Labels:

Comentarios

Publicar un comentario