La anulación del Privacy Shield para no abogados
El pasado 16 de julio el Tribunal de Justicia de la UE, adoptó una decisión que puede tener un impacto muy elevado en la gestión del día a día de muchos negocios: la anulación del Privacy Shield.
En esencia esta decisión pone en duda el uso de plataformas o herramientas tecnológicas que alojen datos personales de europeos en Estados Unidos. Veamos por qué.
¿Qué es (o era) el Privacy Shield?
Desde el inicio del desarrollo del derecho a la protección de datos en Europa de manera conjunta (a principios de los 80), se impuso una visión muy eurocéntrica de la cuestión que en resumen implica que la transferencia de datos entre países de la UE no representaba mayor problema, pero que por el contrario, cuando estos datos salían de la UE, se exigían requisitos adicionales al considerar que las leyes de fuera de la UE en este ámbito, no cumplían los estándares europeos.
Así en la Directiva de 1995 (ya derogada), se estableció un sistema para que países de fuera de la UE, fueran “homologados” con el fin que transferir datos allí tuviera esas mismas garantías.
Aquí tienes la lista de países que se consideran adecuados. La transferencia de datos a países de esta lista tiene los mismos requerimientos que las transferencias dentro de la UE.
Estados Unidos entró en la lista pero con una particularidad: las empresas que quisieran alojar datos de europeos debían “inscribirse” en un protocolo pactado entre EUA y la UE.
Este protocolo primero se llamó Safe Harbour, siendo anulado en 2015, y a partir de 2016, recibe el nombre, del también anulado, Privacy Shield.
Los motivos de ambas anulaciones son en esencia los mismos: no se puede garantizar que los datos de europeos, una vez alojados en EUA, no sean accedidos por las agencias de investigación de los EUA sin unas mínimas garantías.
En ambos casos las decisiones fueron el fruto de sendas demandas contra Facebook de un ciudadano austríaco llamado Max Schrems (@maxschrems).
Muchas empresas, muy grandes y muy usadas por perfiles muy distintos (desde autónomos a grandes corporaciones), están inscritas en el Privacy Shield: Google, Mailchimp, Zoho… (aquí tienes el listado completo de empresas).
Es necesario decir que para estar en el Privacy Shield es suficiente con un proceso de auto-certificación de la empresa. Nadie comprueba que efectivamente cumplan con el protocolo.
¿Qué implica la anulación del Privacy Shield?
Pues bien, el 16 de julio de 2020, el Tribunal de Justicia de la UE ha anulado el Privacy Shield (aunque EUA lo continua considerando válido…) y esto tiene efectos directos en las empresas europeas que alojan datos de terceros (clientes, trabajadores, leads, etc…) en alguna de las empresas incluidas en el listado.
Anulado el Privacy Shield las empresas europeas deberán encontrar alguna de las otras opciones que el RGPD da para transferir datos personales fuera de la UE:
- En 2010 la UE publicó un modelo de contrato estandarizado para transferir datos fuera de la UE. La sentencia de 16 de julio, considera que este modelo sigue siendo válido (aunque no está adaptado al RGPD, paradojas de la vida). Pues bien, si somos una empresa europea y queremos transferir datos a una empresa de los EUA, deberemos comprobar que sus condiciones de servicio, incluyen los términos del modelo de contrato estandarizado.
- Otra opción es pedir el consentimiento de la persona afectada (titular del dato) para transferir sus datos fuera de la UE. Para cumplir el RGPD este consentimiento debe ser expreso, no vale con un “sino me dices lo contrario…”. Ojo con los consentimientos que no son 100% libres, por ejemplo cuando los datos son de trabajadores.
Recomendaciones
Estamos ante una sentencia de un elevado impacto y que realmente puede afectar a muchos negocios digitales o tradicionales con un elevado uso de TIC, por eso el Manual de supervivencia mínimo debería incluir:
- Ten inventariadas las aplicaciones que usas donde alojas datos personales (emails, nombres, teléfonos, datos laborales, etc…)..
- Averigua la ubicación de estas aplicaciones (dónde alojan sus datos).
- Si están en la UE, ok (ojo que esto no significa que no debas controlar sus condiciones de servicio para que cumplan el RGPD).
- Si están fuera de la UE, evalúa qué permite la transferencia de datos a ese país: listado de países “homologados”, contrato tipo de la UE o consentimiento del afectado.
- Si están en los EUA como hemos dicho las opciones se limitan a contrato tipo de la UE o consentimiento del afectado.
Cualquier duda o comentario, estaré encantado de ayudarte. No dudes en contactarme.