Transferencia de datos a EEUU tras la invalidez del Privacy Shield
Los activistas que han denunciado a 101 empresas ante las autoridades de control de diversos países europeos por continuar la transferencia de datos a EEUU a través de Google Analytics y Facebook Connect han concentrado toda su atención en la interpretación del apartado 135 de la sentencia del TJUE (Schrems II).
Apartado 135 de la sentencia
Este apartado establece que la normativa de inteligencia exterior de EEUU impone al destinatario de una transferencia de datos personales procedentes de la Unión obligaciones que son contrarias a las cláusulas contractuales tipo y que, por tanto, pueden poner en entredicho la garantía contractual de un nivel de protección adecuado contra el acceso de las autoridades públicas de dicho país tercero a esos datos.
Sentada la premisa de que un proveedor norteamericano tiene la obligación de responder a los requerimientos de información que reciba de las autoridades de inteligencia exterior de EEUU, está claro que cualquier solución que propongamos será insuficiente.
Ineficacia de las medidas anunciadas
Ni las normas corporativas vinculantes, ni una nueva versión del las cláusulas contractuales tipo, ni una nueva decisión de adecuación de la Comisión, ni un nuevo acuerdo UE-EEUU, ni un acuerdo para que los datos estén en un servidor europeo será efectivo mientras subsista la obligación de las empresas norteamericanas de entregar los datos de los ciudadanos europeos a la NSA si ésta lo requiere. O mientras subsista la posibilidad de que la NSA intercepte las comunicaciones y obtenga los datos de forma masiva e indiscriminada.
Impacto en el negocio
Ello tiene un grave impacto en el negocio, ya que la industria del software se ha transformado radicalmente en los últimos 20 años y ha pasado de vender productos a vender servicios en la nube. Como consecuencia de ello, las empresas europeas que gestionaban sus datos en Europa con las aplicaciones que contrataban, ahora tienen sus datos en servidores controlados por empresas norteamericanas.
En los servicios más complejos como los relativos a CRM o ERP, el nivel de vinculación con el proveedor y los costes de migración a otro proveedor son muy altos, por lo que buscar alternativas en la UE no es una medida viable a corto plazo.
Modificación de la normativa de inteligencia exterior norteamericana
Es difícil que EEUU modifique la normativa que faculta a las autoridades de inteligencia exterior a requerir o interceptar datos de ciudadanos extranjeros, pero si no se introducen excepciones en esta normativa es difícil que un acuerdo UE-EEUU sea eficaz.
Esta semana se ha publicado la noticia relativa a la ilegalidad del programa de investigación masiva de la NSA. Sin embargo, la resolución del tribunal se refiere exclusivamente a la investigación de ciudadanos norteamericanos.
Riesgo real de acceso
Los activistas han puesto todos los datos, servicios y usuarios en el mismo saco, sin tener en cuenta las estadísticas de los requerimientos de información que han publicado los proveedores norteamericanos más transparentes. En estas estadísticas se puede apreciar que no tiene la misma probabilidad de acceso por parte de las autoridades de inteligencia exterior un servicio de CRM que un servicio de correo electrónico, una gran empresa que un particular.
Este análisis de riesgos es importante, y hemos detallado su alcance el la FASE 05 de nuestro protocolo de transferencias a EEUU.
Aviso de imposibilidad de cumplimiento de las cláusulas contractuales tipo
Las cláusulas contractuales tipo prevén la existencia de un protocolo que permita la suspensión inmediata de la transferencia y el borrado de los datos tras la comunicación de la recepción por parte del importador, de una solicitud de acceso a los datos remitida por una autoridad de inteligencia exterior.
Sin embargo, el proveedor puede ser requerido en la misma solicitud para que no realice esta comunicación al exportador de los datos, por lo que la comunicación a éste se limitaría a indicar la imposibilidad del importador de seguir cumpliendo sus obligaciones establecidas en las cláusulas.
La opción de suspensión y borrado serviría para servicios poco complejos, como los suministrados por una plataforma de mailing, pero no para un SAAS de CRM y mucho menos para un ERP.
Ocultación de los datos
En estos momentos, y a falta de una solución jurídica adecuada, la mejor opción es la que ya están aplicando algunas empresas. Consiste en ocultar los datos al proveedor o importador y a las autoridades de inteligencia exterior.
El propio Max Schrems ha validado estas medidas a contrario sensu al decir que no serían válidas si estuviesen bajo control del proveedor, por lo que, si dependen exclusivamente del exportador de los datos, es decir, de la empresa europea que contrata los servicios del proveedor, ofrecerán una garantía adecuada.
En este caso, los datos seguirán siendo personales, pero el encargado del tratamiento no podrá acceder a ellos, y si accede, no podrá comprenderlos.
