Hace unos días supimos que el acuerdo Privacy Shield entre Estados Unidos y la Unión Europea ha sido anulado por el Tribunal de Justicia de la Unión Europea.
Lo primero es entender para qué servía el acuerdo Privacy Shield. Para explicarlo voy a partir de la hipótesis de un mutante llamado Javier, que tiene una escuela para jóvenes mutantes, ubicada en un pueblo a la orilla del río Alberche. Ahí los jóvenes mutantes reciben formación y aprenden a controlar sus poderes y a manejarlos.
La infraestructura tecnológica de la escuela está desplegada en servidores ubicados en EEUU. Por ningún motivo en concreto, simplemente a Forjador, el CTO de la escuela, le cuadró la oferta que le hicieron.
En esa infraestructura, la escuela tiene desplegadas diversas herramientas y aplicaciones. Quizás la más relevante, sea una base de datos que contiene todas las personas con poderes mutantes y las instrucciones para neutralizar a cualquier mutante que pierda el control de sus poderes, incluido al propio Javier.
El hecho de que una organización como la escuela de jóvenes mutantes, esté ubicada y preste sus servicios de enseñanza a jóvenes mutantes en la Unión Europea y mantenga sus servidores en países fuera de la Unión Europea, se considera una transferencia internacional de datos. Es decir, en este caso, hay un flujo de datos desde España a EEUU que donde están ubicados los servidores que alojan los datos de los que es Responsable (del Tratamiento) la escuela.
Las transferencias internacionales de datos sólo pueden realizarse a países que hayan sido declarados con un nivel de protección adecuado por la Comisión Europea. Y EEUU no es un país con nivel adecuado declarado por la Comisión (ups).
Como hay mucho tráfico comercial entre empresas de EEUU y la UE, se habilitó ese «nivel de protección adecuado» a través del Acuerdo Privacy Shield. Y de esa manera, las empresas estadounidenses podrían adherirse al acuerdo y con esa adhesión justificar su cumplimiento de las garantías necesarias y equivalentes con la normativa europea.
En nuestra historia, el proveedor de los servidores cloud que contrató Forjador para el despliegue de sus infraestructuras, estaba convenientemente adherido al acuerdo de Privacy Shield.
¿Y entonces por qué se ha anulado el Privacy Shield?
Si tuviera que resumir del todo diría que, básicamente, por la NSA. Quien haya visto The Good Wife y The Good Fight, sabrá que estas cuestiones siempre se acaban complicando por culpa de la NSA y que es complicado saber quién da las órdenes a la NSA.
Y es que el Privacy Shield aplicaba y aportaba garantías pero tenía un truco que es, precisamente, sobre lo que se le ha preguntado al Tribunal de Justicia de la Unión Europea para que se pronuncie. La pregunta que le hicieron al Tribunal fue:
¿Garantiza el Privacy Shield un adecuado nivel de protección conforme a los requerimientos de la normativa europea?
Y la respuesta ha sido que no. Que dado que los principios del Privacy Shield pueden ser limitados si alguien considera necesario el acceso a datos de ciudadanos europeos que estén albergados en servidores ubicados en EEUU, la protección equivalente no está garantizada. Y es que el tío Sam puede alegar motivos de seguridad o de interés nacional y solicitar acceso a los datos.
Y recuerdo que, en nuestro ejemplo, Javier tiene alojados en el servidor de EEUU, entre otros, los poderes de todos los mutantes y cómo neutralizarlos.
En definitiva, cualquier transferencia internacional que estuviera amparada en el Privacy Shield debe ser interrumpida y los organismos reguladores (la Agencia de Protección de Datos en España), tienen potestad de prohibir esas transferencias.
¿Y no hay alternativas?
Esta pregunta tiene su truqui. Al Tribunal de Justicia de la Unión Europea se le planteó también otra cuestión bastante relevante. Y es si tienen validez las llamadas «cláusulas contractuales tipo» («SCC» en inglés).
Las SCC son unos modelos de contrato publicados en los anexos de la Decisión 2010/87/UE. Esas SCC son, en resumen, un modelo de contrato que establece obligaciones para el exportador y el importador de los datos personales. Y esas obligaciones tienen la finalidad de garantizar que los datos personales que se transfieren al país de destino se tratan con garantías adecuadas.
Y lo que ha dicho el Tribunal es que las SCC sí que son perfectamente válidas y que facilitan mecanismos que aseguran adecuadamente la transferencia al tercer país.
Eso sí, y aquí viene el giro argumental, la transferencia debe ser prohibida o suspendida cuando no se puedan cumplir los requisitos establecidos en esas cláusulas contractuales.
Así que volvemos a la NSA. Y es que resulta que si las SCC sólo tienen capacidad de obligar a las partes que firman el contrato (el exportador y el importador) pero no vinculan a los organismos de EEUU, entonces estamos en las mismas. Porque la NSA (entre otros) podrá requerir al importador que facilite los datos de ciudadanos europeos y por ahí se van al sumidero los derechos y garantías sobre los datos de ciudadanos europeos.
En definitiva, si se suscriben SCC entre las partes, el exportador debe tener en cuenta si los requisitos legales del país al que va a transmitir los datos permiten el cumplimiento de los SCC. Y debe tener en consideración también el acceso de las autoridades públicas del tercer país y aspectos legales de dicha legislación, en particular, que permitan cumplir con el artículo 45.2.
¿Y entonces?
Aquí es donde se sienta Javier, como CEO de la escuela de jóvenes mutantes, con Forjador que es CTO y viene la pregunta de «¿qué hacemos Javier?»
Con un poco de suerte tienen Delegado de Protección de Datos a quien incluir en la sentada porque las transferencias internacionales que estaban amparadas por el Privacy Shield, tienen que dejar de hacerse.
Spoiler de opciones ante la situación:
- Ver si el proveedor tiene la opción de ubicar sus servidores en Europa.
- Revisar si las SCC negociadas entre exportador e importador garantizan los requisitos del artículo 45 del RGPD y ajustarlos si es que no pero, en el caso del EEUU, seguimos teniendo el asunto de seguridad nacional y el Doctor Doom.
- Es factible que se llegue a un nuevo acuerdo entre la Unión Europea y EEUU. Un nuevo Privacy Shield al que adherirse. Al fin y al cabo, el Privacy Shield es el upgrade del anterior Safe Harbour que también fue invalidado. Lo que está por ver es qué opinará el Doctor Doom al respecto.
- También se espera que se publiquen nuevas cláusulas contractuales tipo adaptadas al RGPD porque, las que he comentado aquí aunque válidas, en realidad se redactaron en el marco de una Directiva ya derogada.
Yo creo que son tiempos para hablar con los responsables y delegados de protección de datos en las organizaciones para ver opciones.
Redactado por Elena, a fecha 23 de julio de 2020.