L’anul·lació del Privacy Shield per no advocats
El passat 16 de juliol el Tribunal de Justícia de la UE, va adoptar una decisió que pot tenir un impacte molt elevat en la gestió del dia a dia de molts negocis: l’anul·lació del Privacy Shield.
En essència aquesta decisió posa en dubte l’ús de plataformes o eines tecnològiques que allotgin dades personals d’europeus als Estats Units. Vegem per què:
Què és (o era) el Privacy Shield?
Des de l’inici de el desenvolupament del dret a la protecció de dades a Europa de manera conjunta (a principis dels 80), es va imposar una visió molt eurocèntrica de la qüestió que en resum implica que la transferència de dades entre països de la UE no representava major problema, però que per contra, quan aquestes dades sortien de la UE, s’exigien requisits addicionals al considerar que les lleis de fora de la UE en aquest àmbit, no complien els estàndards europeus.
Així en la Directiva de 1995 (ja derogada), es va establir un sistema perquè països de fora de la UE, fossin “homologats” per tal de transferir dades allà tingués aquestes mateixes garanties.
Aquí tens la llista de països que es consideren adequats. La transferència de dades a països d’aquesta llista té els mateixos requeriments que les transferències dins de la UE.
Estats Units va entrar a la llista però amb una particularitat: les empreses que volguessin allotjar dades d’europeus havien d’inscriure’s en un protocol pactat entre EUA i la UE.
Aquest protocol primer es va dir Safe Harbour, anul·lat el 2015, i a partir de 2016, rep el nom, del també anul·lat, Privacy Shield.
Els motius d’ambdues anul·lacions són en essència els mateixos: no es pot garantir que les dades d’europeus, un cop allotjades als EUA, no siguin accedides per les agències d’investigació dels EUA sense unes mínimes garanties. En tots dos casos les decisions van ser el fruit de dues demandes contra Facebook d’un ciutadà austríac anomenat Max Schrems (@maxschrems).
Moltes empreses, molt grans i molt usades per perfils molt diferents (des d’autònoms a grans corporacions), estan inscrites al Privacy Shield: Google, Mailchimp, Zoho… (aquí tens el llistat complet d’empreses).
Cal dir que per ser al Privacy Shield és suficient amb un procés d’autocertificació de l’empresa. Ningú comprova que efectivament compleixin amb el protocol.
Què implica l’ anul·lació del Privacy Shield?
Doncs bé, el 16 de juliol de 2020, el Tribunal de Justícia de la UE ha anul·lat el Privacy Shield (encara que EUA el continua considerant vàlid …) i això té efectes directes en les empreses europees que allotgen dades de tercers (clients, treballadors, leads, etc …) en alguna de les empreses incloses en el llistat.
Anul·lat el Privacy Shield les empreses europees han de trobar alguna de les altres opcions que el RGPD dóna per transferir dades personals fora de la UE:
- El 2010 la UE va publicar un model de contracte estandarditzat per a transferir dades fora de la UE. La sentència de 16 de juliol, considera que aquest model segueix sent vàlid (encara que no està adaptat al RGPD, paradoxes de la vida). Doncs bé, si som una empresa europea i volem transferir dades a una empresa dels EUA, haurem de comprovar que les seves condicions de servei, inclouen els termes del model de contracte estandarditzat.
- Una altra opció és demanar el consentiment de la persona afectada (titular de la dada) per transferir les seves dades fora de la UE. Per complir el RGPD aquest consentiment ha de ser exprés, no val amb un “si no em dius el contrari …”. Atenció amb els consentiments que no són 100% lliures, per exemple quan les dades són de treballadors.
Recomanacions
Estem davant d’una sentència d’un elevat impacte i que realment pot afectar molts negocis digitals o tradicionals amb un elevat ús de TIC, per això el Manual de supervivència mínim hauria d’incloure:
- Tingues inventariades les aplicacions que fas servir on allotges dades personals (correus electrònics, noms, telèfons, dades laborals, etc …).
- Esbrina la ubicació d’aquestes aplicacions (on s’allotgen les seves dades).
- Si estan a la UE, ok (atenció que això no vol dir que no hagis de controlar les seves condicions de servei perquè compleixin el RGPD).
- Si estan fora de la UE, avalua què permet la transferència de dades a aquest país: llistat de països “homologats”, contracte tipus de la UE o consentiment de l’afectat.
- Si estan en els EUA, com hem dit, les opcions es limiten a contracte tipus de la UE o consentiment de l’afectat.
Qualsevol dubte o comentari, estaré encantat d’ajudar-te. No dubtis en contactar-me.