2020 está siendo un año realmente… “intenso”.
Ni siquiera el verano, con su tradicional sequía informativa y regulatoria, nos ha dejado descansar la neurona para afrontar la vuelta al cole con las pilas bien cargadas. De hecho, muchos nos fuimos de vacaciones con un tormento de última hora.
La anulación del Privacy Shield por parte del Tribunal de Justicia de la Unión Europea (TJUE) nos ha traído de cabeza durante los últimos meses (y más que nos va a traer). El impacto de la sentencia del TJUE es demoledor para la mayoría de los mecanismos de transferencia internacional de datos personales, lo cual nos lleva a la pregunta (casi retórica) del título de este artículo.
Pero antes…Un poquito de historia
Ahora SÍ
El 26 de julio del año 2000, la Comisión Europea aprobó mediante Decisión el marco de trabajo del denominado Safe Harbor o Puerto Seguro. Este marco acordado con Estados Unidos permitía a las empresas europeas contratar con empresas estadounidenses adheridas voluntariamente a Safe Harbor, sin tener que pasar por el tedioso proceso de aprobación de transferencias internacionales por parte de la autoridad nacional de protección de datos del país correspondiente.
Ahora NO
En octubre de 2015, a raíz de una denuncia de cierto activista por la privacidad contra Facebook Irlanda por transferir datos a Facebook USA, el TJUE anuló el Safe Harbor al encontrar que la Decisión de la Comisión Europea contenía un conflicto de jerarquía normativa por contradecir a la Directiva de Protección de Datos (95/46).
Ahora SÍ
9 meses después, en julio de 2016, la Comisión Europea dio a luz una nueva Decisión (216/1250) aprobando un nuevo marco de trabajo, el Privacy Shield o Escudo de Privacidad que fue vigilado anualmente por las autoridades europeas de protección de datos.
Ahora NO
Cuando la criatura recién había cumplido 4 años, en julio de 2020, de nuevo el TJUE dictó Sentencia y anuló la Decisión del Privacy Shield, en esta ocasión por una normativa estadounidense en materia de seguridad nacional que impide a las empresas estadounidenses ofrecer un nivel adecuado de protección de datos compatible con RGPD.
¿Y AHORA QUÉ?
Con el Privacy Shield no se acaba el mundo. De hecho, existen varias formas de legalizar transferencias internacionales de datos fuera de la UE, pero todas tienen algún “PERO”:
- Decisión de adecuación de la Comisión Europea para países con un nivel adecuado de protección de datos, como sucede con Canadá, Argentina, Israel, Uruguay, Nueva Zelanda, Japón y algunos paraísos o refugios fiscales.
Lo malo es que esta opción no está al alcance de las empresas europeas, sino únicamente de la Comisión y con la Sentencia del TJUE en la mano es inviable que ahora se le reconozca a Estados Unidos un nivel adecuado de protección de datos.
- Garantías adecuadas mediante diferentes mecanismos como Cláusulas Contractuales Tipo (SCC), Normas Corporativas Vinculantes (BCR), Códigos de Conducta y Mecanismos de Certificación.
En este caso, el TJUE también se pronunció sobre la validez de las SCC (no así sobre el resto de los mecanismos), y en su argumentación subyace que, en cualquiera de estos casos, el Responsable debe evaluar la legislación del país de destino, así como al destinatario para ver si realmente está en condiciones de ofrecer estas garantías adecuadas (cosa que el propio TJUE se encarga de denegar para el caso de Estados Unidos, ya que por ese motivo anula el Privacy Shield).
- Excepciones para situaciones específicas, de las que destacamos, el consentimiento libre y explícito del interesado tras haber sido informado del riesgo, y también la necesidad intrínseca para un contrato del que el interesado es parte o beneficiario.
Pero hay que destacar que las autoridades europeas han incidido en varias ocasiones en que estos medios deben reservarse, como reza el propio RGPD, como excepciones para situaciones específicas (además de que un consentimiento libre, específico y debidamente informado, no es algo fácil de obtener de forma masiva si se trata de solucionar una situación como esta).
En definitiva, estamos entre la espada y la pared de un callejón sin salida, teniendo que elegir entre susto y muerte.
O bien intentamos mover todos los servicios a la UE (no sólo el alojamiento, sino cualquier tipo de procesamiento o acceso a los datos) o, conseguimos un proveedor estadounidense que no esté sujeto a la normativa conflictiva (difícil)… o habrá que jugar con escenarios de riesgo.
Dentro de estos escenarios de riesgo, el Comité Europeo de Protección de Datos (EDPB) ha anunciado que ha creado un grupo de trabajo que preparará recomendaciones para ayudar a las empresas con su deber de identificar e implementar medidas complementarias adecuadas para garantizar una protección adecuada al transferir datos a terceros países.
Así que, probablemente, la mejor alternativa de riesgo sea esperar a estas recomendaciones del EDPB, aunque difícilmente subsanarán el problema legislativo que existe con Estados Unidos. De hecho, la propia Andrea Jelinek, presidenta de la EDPB, ha reconocido que: “las implicaciones de la sentencia son amplias y los contextos de las transferencias de datos a terceros países muy diversos. Por lo tanto, no puede haber una solución única y rápida para todos. Cada organización deberá evaluar sus propias operaciones y transferencias de procesamiento de datos y tomar las medidas adecuadas”.
Para rematar la situación actual, la Comisión Europea también ha anunciado que va a iniciar conversaciones con Estados Unidos para reeditar una nueva versión del… Privacy Safe Shield Harbor Max Ultra, a prueba de balas y de sentencias del TJUE.
Siempre nos quedará mudarnos a Estados Unidos…
Jose Carlos Moratilla
Áudea Seguridad de la Información