Hace unos días supimos que el acuerdo Privacy Shield entre Estados Unidos y la Unión Europea ha sido anulado por el Tribunal de Justicia de la Unión Europea.
Lo primero es entender para qué servía este acuerdo. Para explicarlo voy a partir de un ejemplo:
Imaginemos a una persona llamada Javier, que es director de una escuela especializada en personas que tienen superpoderes. En esa escuela, las jóvenes mentes que asisten, reciben formación y aprenden a controlar sus poderes y a manejarlos.
La infraestructura tecnológica (los servidores que almacenan la información) de la escuela está desplegada en servidores ubicados en EEUU. Por ningún motivo en concreto, simplemente a Forjador, el CTO de la escuela, le cuadró la oferta de precio que le hicieron.
En esa infraestructura, la escuela tiene desplegadas diversas herramientas y aplicaciones. Quizás la más relevante, sea una base de datos que contiene todas las personas con superpoderes y también las instrucciones para neutralizar a cualquier persona con poderes que pierda el control de los mismos, incluido al propio Javier.
El hecho de que una organización como esta escuela, esté ubicada y preste sus servicios de enseñanza a personas con poderes que son ciudadanos de la Unión Europea, pero que mantenga los servidores que tratan los datos de estas personas en países fuera de la Unión Europea, se considera una transferencia internacional de datos. Es decir, en este caso, hay un flujo de datos desde España a EEUU, que es donde están ubicados los servidores que alojan los datos de los que es Responsable (del Tratamiento) la escuela.
Las transferencias internacionales de datos sólo pueden realizarse a países que hayan sido declarados con un nivel de protección adecuado por la Comisión Europea. Y EEUU no es un país con nivel adecuado declarado por la Comisión (ups).
Como hay mucho tráfico comercial entre empresas de EEUU y la UE, se habilitó ese «nivel de protección adecuado» a través del Acuerdo Privacy Shield. Y de esa manera, las empresas estadounidenses podrían adherirse al acuerdo y con esa adhesión justificar su cumplimiento de las garantías necesarias y equivalentes con la normativa europea.
En nuestra historia, el proveedor de los servidores cloud que contrató Forjador para el despliegue de sus infraestructuras, estaba convenientemente adherido al acuerdo de Privacy Shield.
¿Y entonces por qué se ha anulado el Privacy Shield?
Las personas que hayan visto The Good Wife sabrán que estas cuestiones siempre se acaban complicando por culpa de la NSA y, también, que es casi imposible saber quién da las órdenes a la NSA.
Y es que el Privacy Shield aplicaba y aportaba garantías pero tenía un truco que es, precisamente, sobre lo que se le han preguntado al Tribunal de Justicia de la Unión Europea para que se pronuncie. Y la pregunta que le hicieron fue:
¿Garantiza el Privacy Shield un adecuado nivel de protección conforme a los requerimientos de la normativa europea?
Y la respuesta ha sido que «no». Que dado que los principios del Privacy Shield pueden ser limitados, si alguien considera necesario el acceso a datos de ciudadanos europeos albergados en servidores ubicados en EEUU, la protección equivalente no está garantizada. Y es que el tío Sam puede alegar motivos de seguridad o de interés nacional y solicitar acceso a los datos.
Y recuerdo que, en nuestro ejemplo, Javier tiene alojados en el servidor de EEUU, entre otros, los poderes y cómo neutralizarlos.
En definitiva, cualquier transferencia internacional que estuviera amparada en el _Privacy Shield_ debe ser interrumpida y los organismos reguladores (la Agencia de Protección de Datos en España), tienen potestad de prohibir esas transferencias.
¿Y no hay alternativas?
Esta pregunta tiene su «truqui». Al Tribunal de Justicia de la Unión Europea se le planteó también otra cuestión bastante relevante. Y es si tienen validez las llamadas «cláusulas contractuales tipo» («SCC» en inglés).
Las SCC son unos modelos de contrato publicados en los anexos de la Decisión 2010/87/UE. Esas SCC son, en resumen, un modelo de contrato que establece obligaciones para el exportador y el importador de los datos personales. Y esas obligaciones tienen la finalidad de garantizar que los datos personales que se transfieren al país de destino, se tratan con garantías adecuadas.
Y lo que ha dicho el Tribunal es que las SCC «sí» que son perfectamente válidas, y que facilitan mecanismos que aseguran adecuadamente la transferencia al tercer país.
Eso sí, y aquí viene el «truqui» (el «plot tuist»), la transferencia debe ser prohibida o suspendida cuando no se puedan cumplir los requisitos establecidos en esas cláusulas contractuales.
Así que volvemos a la NSA. Y es que resulta que si las SCC sólo tienen capacidad de obligar a las partes que firman el contrato (el exportador y el importador) pero no vinculan a los organismos de EEUU, entonces estamos en las mismas. Porque la NSA (entre otros) podrá requerir al importador para que facilite los datos de ciudadanos europeos, y por ahí se van al sumidero los derechos y garantías sobre los datos de ciudadanos europeos.
En definitiva, si se suscriben SCC entre las partes, el exportador debe tener en cuenta si los requisitos legales del país al que va a transmitir los datos permiten el cumplimiento de los SCC. Y debe tener en consideración también el acceso de las autoridades públicas del tercer país y aspectos legales de dicha legislación, en particular, que permitan cumplir con el artículo 45.2 del RGPD.
¿Y entonces?
Aquí es donde volvemos a nuestro ejemplo. Y Javier se sienta con Forjador, su CTO, y se preguntan «¿qué hacemos?»
Con un poco de suerte tienen Delegado de Protección de Datos a quien incluir en la sentada. Y aquí un pequeño espoiler de opciones ante la situación:
(1) Ver si el proveedor tiene la opción de ubicar sus servidores en Europa.
(2) Revisar si las SCC negociadas entre exportador e importador garantizan los requisitos del artículo 45 del RGPD y ajustarlos si es que no. Pero, en el caso del EEUU, seguimos teniendo el asunto de seguridad nacional y el tío Sam.
(3) Es factible que se llegue a un nuevo acuerdo entre la Unión Europea y EEUU. Un nuevo Privacy Shield al que adherirse. Al fin y al cabo, el Privacy Shield es el «upgrade» del anterior Safe Harbour que también fue invalidado. Lo que está por ver es qué opinará el tío Sam al respecto.
(4) También se espera que se publiquen nuevas cláusulas contractuales tipo adaptadas al RGPD porque, las que he comentado aquí aunque válidas, en realidad se redactaron en el marco de una Directiva ya derogada.
En definitiva, yo creo que son tiempos para hablar con los responsables y delegados de protección de datos en las organizaciones para ver opciones.
# Bola extra: Sí, mi historia de Javier y Forjador está basada en los X-Men. Leed cómics que molan mucho 😉
Elena Pérez Gómez
Abogada en cohaerentis
Especializada en Derecho Tecnológico
