Cortocircuito en el intercambio de informaci¨®n entre EE UU y la UE
Las empresas deben buscar alternativas tras anular la Justicia el escudo de seguridad para la transmisi¨®n de datos
El pasado 16 de julio, el Tribunal de Justicia de la Uni¨®n Europea (TJUE) dict¨® una relevante sentencia en la que invalidaba el Privacy Shield (en espa?ol, escudo de privacidad), el acuerdo entre Estados Unidos y la UE para regular las transferencias de datos entre ambas jurisdicciones. Los magistrados consideran que el sistema no cumple con las garant¨ªas que exige en el Reglamento General de Protecci¨®n de Datos (RGPD). El problema, explican, reside en una ley estadounidense que permite a su Gobierno acceder a la informaci¨®n personal que posean las empresas del pa¨ªs en caso de que se vea amenazada la seguridad nacional. Una concesi¨®n que, seg¨²n la resoluci¨®n, es completamente inadmisible.
El fallo ha sido un d¨¦j¨¤ vu para muchos de expertos en la materia. El escudo de privacidad es el segundo intento de acuerdo pol¨ªtico para el intercambio de datos que tumba la justicia europea. El anterior, bautizado como Safe Harbor (puerto seguro) fue llevado ante los tribunales en 2015 y tambi¨¦n acab¨® anulado por no cumplir con los m¨ªnimos de protecci¨®n exigidos en el Viejo continente.
?Qu¨¦ impacto tiene la anulaci¨®n del Privacy Shield? Para empezar, todas las transferencias de informaci¨®n personal que se realicen en base al escudo son, desde el 16 de julio, ilegales y contrarias al RGPD. Una consideraci¨®n que puede tener consecuencias muy graves para las compa?¨ªas, ya que las sanciones europeas en materia de privacidad pueden alcanzar, en los casos m¨¢s flagrantes, los 20 millones de euros o el 4% de la facturaci¨®n anual de la organizaci¨®n.
La decisi¨®n afecta, asimismo, a una cantidad considerable de compa?¨ªas que, sobre el susodicho acuerdo, han contratado un sinf¨ªn de servicios de empresas estadounidenses que requieren intercambio de datos. Entre otros, servidores, aplicaciones de mensajer¨ªa instant¨¢nea, plataformas de env¨ªos masivos de correos o alojamientos de p¨¢ginas web.
?Supondr¨¢ esto un par¨®n de la actividad de las entidades perjudicadas? ¡°Ni mucho menos¡±, rechaza Rafael Garc¨ªa del Poyo, socio de Osborne Clarke. En su opini¨®n, la situaci¨®n no es tan cr¨ªtica como pudo parecer en un principio. Y, aunque admite que la resoluci¨®n complica la gesti¨®n de los datos (un activo de cada vez mayor valor para las compa?¨ªas), existen otras f¨®rmulas legales que legitiman ese intercambio.
Una de ellas, avanza, son las cl¨¢usulas contractuales tipo. Este instrumento legal permite realizar transferencias internacionales con garant¨ªas, suscribiendo un contrato entre el exportador e importador de los datos por el que el ¨²ltimo se compromete a tratar la informaci¨®n respetando la normativa europea.
Ahora bien, no est¨¢ claro que las cl¨¢usulas puedan aplicarse con compa?¨ªas estadounidenses. Como explica Leandro N¨²?ez, socio en Audens, el TJUE menciona en su sentencia que esta opci¨®n ser¨¢ v¨¢lida ¡°siempre y cuando las disposiciones acordadas se cumplan ¨ªntegramente y no exista ning¨²n obst¨¢culo en las leyes del pa¨ªs receptor que vulnere la intimidad de los ciudadanos comunitarios¡±. Algo que no ocurre en el caso de Estados Unidos.
El abogado advierte que estos contratos contienen una disposici¨®n que proh¨ªbe al importador ceder los datos a terceros, por lo que, en caso de producirse una intromisi¨®n por parte del gobierno norteamericano, ¡°se incumple la cl¨¢usula y el contrato ser¨ªa nulo¡±. Un riesgo al que hay que sumar el de una posible multa por la autoridad de protecci¨®n de datos competente. No obstante, Garc¨ªa del Poyo ve muy remota la posibilidad de sanci¨®n. ¡°Ni el tribunal ni el Comit¨¦ Europeo de Protecci¨®n de Datos han sido alarmistas¡±, reflexiona. El letrado cree que las cl¨¢usulas tipo ser¨¢n v¨¢lidas, pero la empresa deber¨¢ hacer un an¨¢lisis previo y exhaustivo sobre las mismas y sobre el r¨¦gimen legal del pa¨ªs de recepci¨®n. En todo caso, y ante la falta de claridad, ¡°lo m¨¢s probable es que las autoridades se pronuncien pr¨®ximamente¡±, augura.
Los pronunciamientos, sin embargo, se est¨¢n haciendo esperar. En Berl¨ªn, por ejemplo, el comisionado de protecci¨®n de datos ha aconsejado a las compa?¨ªas que, de momento, paren las transferencias de informaci¨®n a Estados Unidos hasta que haya un nuevo marco legal. M¨¢s parca ha sido la respuesta de Francia y Liechtenstein, limit¨¢ndose a anunciar que est¨¢n examinando la sentencia.
En la misma l¨ªnea, la Agencia Espa?ola de Protecci¨®n de Datos (AEPD) subraya que el fallo supone, en primer t¨¦rmino, ¡°un respaldo a los derechos de los ciudadanos europeos¡±. Y avanza que est¨¢ analizando el fallo junto con el resto de las autoridades europeas para ¡°dar una respuesta armonizada¡±.
Daniel L¨®pez Carballo, socio de Ecija, apunta otras alternativas para minimizar el peligro de incumplimiento. La primera, pedir una validaci¨®n de las cl¨¢usulas tipo a la autoridad de control ¡°para que certifique que se respetan los m¨ªnimos legales¡±. La segunda es poner en marcha normas corporativas vinculantes, una pol¨ªtica interna de privacidad que debe servir para realizar transferencias seguras de informaci¨®n a las sucursales en otros lugares. ¡°Garantiza que, independientemente del pa¨ªs en el que se est¨¦, se cumplen con los m¨ªnimos legales¡±, se?ala.
La soluci¨®n ideal, no obstante, ser¨ªa un tercer acuerdo entre UE y EE UU, esta vez respetuoso con la normativa europea. Una posibilidad que, para Leandro N¨²?ez, es m¨¢s bien remota. ¡°Es una cuesti¨®n cultural. En EE UU la seguridad nacional est¨¢ por encima de la privacidad individual¡±. La propia idiosincrasia del pa¨ªs imposibilita un potencial pacto y, adem¨¢s, ¡°la Administraci¨®n actual parece poco dispuesta a ceder en este sentido¡±, lamenta. Sin una resoluci¨®n clara y en pleno auge de la econom¨ªa digital, este conflicto amenaza con convertirse con una importante fuente de inseguridad jur¨ªdica para muchas compa?¨ªas.
Servidores propios
Si hay algo claro en todo este escenario de incertidumbre en torno a las comunicaciones transoce¨¢nicas de informaci¨®n corporativa es que las soluciones alternativas requerir¨¢n un esfuerzo extra para las compa?¨ªas, lo que se traduce, en definitiva, en un mayor coste para las mimas. En esta l¨ªnea, los expertos consultados se?alan un aspecto positivo a medio y largo plazo de este problema. Y es que las dificultades constantes que presentan los intercambios de datos con EE UU pueden llevar a que las compa?¨ªas europeas dejen de contratar servidores americanos y se decanten por opciones fabricadas dentro del Continente. ¡°Aunque a priori puedan resultar m¨¢s costosas, la sencillez de los tr¨¢mites puede hacerlas m¨¢s rentables¡±, observa Daniel L¨®pez.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.