Esta mañana, en una Fireside Talk organizada por Privacy Provided, hablamos con Max Schrems, abogado austriaco y activista en materia de protección de datos, sobre el complejo asunto de la IT empresarial y las redes. Y la conclusión obtenida ha sido que trabajar con proveedores europeos suele ser la solución más fácil y rentable para los usuarios en lo que respecta al cumplimiento del RGPD.
La transferencia de datos personales desde Europa a EE.UU. era posible en el pasado a través de los acuerdos bilaterales de Safe Harbor y, posteriormente, de Privacy Shield. Sin embargo, el Tribunal de Justicia de la UE declaró inválidos ambos acuerdos a instancias de Max Schrems. El motivo: que el nivel de protección de datos en EE.UU. no se puede equiparar al de Europa. Desde entonces, muchas empresas europeas han tenido que recurrir a las denominadas cláusulas contractuales estándar para justificar una transferencia de datos.
Cláusulas contractuales estándar: un asunto complicado
Según Max Schrems, estas cláusulas (también las actualizadas en junio de 2021) son, no obstante, mucho más complicadas de utilizar porque, en principio, hay que realizar una evaluación caso por caso. Sin embargo, si la empresa que recibe los datos en EE.UU. no es un Electronic Communications Service Provider (proveedor de servicios de comunicaciones electrónicas), hay menos problemas en el ámbito de la protección de datos. Un ejemplo que cita Schrems: si la empresa metalúrgica austriaca Voest transfiere datos a su filial estadounidense, también dedicada a la metalurgia, el RGPD no se interpone en su camino. Pero puede ocurrir que haya subcontratistas involucrados en EE.UU. que sí pertenecen al sector de las comunicaciones electrónicas.
Lo que no siempre es fácil de evaluar es la situación de los proveedores estadounidenses con procesamiento de datos distribuidos geográficamente, como suelen ser aquellos que se dedican a áreas como el correo el electrónico, la seguridad o la distribución de contenidos. Una de las preguntas que surge aquí es si se trata de un procesamiento de datos necesario o inevitable, que esté cubierto por el artículo 49 del RGPD. Sin embargo, Max Schrems ve claro que, incluso si los proveedores de servicios en la nube de EE.UU. utilizan sus centros de datos en Europa, esto no protege los datos almacenados allí contra el acceso a través de la Ley FISA, porque esta ley no tiene limitaciones geográficas. Solo los datos a los que el propio proveedor no puede acceder están a salvo, como sería por ejemplo el caso de una copia de seguridad cifrada y almacenada en la nube, a la que no hubiera un acceso local a las claves.
Diferentes concepciones de la ley
En general, desde el punto de vista de Max Schrems, las leyes estadounidenses y europeas son diametralmente opuestas en materia de protección de datos, y, básicamente, esto solo podría solucionarse cambiando las leyes. En la UE, se trataría de la Carta de los Derechos Fundamentales, por lo que una revisión sería altamente improbable. A medio plazo, más bien se podría esperar un debilitamiento de las leyes de vigilancia estadounidenses FISA y CLOUD Act (las cuales, por cierto, también podrían estar legitimando el espionaje industrial).
Casualmente, una notificación de ayer de Bloomberg también coincide con esta postura. El alto directivo y abogado de Microsoft, Brad Smith, se ha quejado de que las convocatorias secretas de empresas de tecnología estadounidenses destruyeron la confianza de los clientes europeos, dificultando así los negocios. La semana pasada, los medios informaron de que, durante el mandato de Donald Trump, tanto Apple como Microsoft fueron obligados por las autoridades gubernamentales a divulgar datos de opositores políticos al presidente, en cada caso con requisitos de confidencialidad, incluida la prohibición de informar a los afectados.
Incertidumbre general
Cuando se le preguntó si una empresa europea podría trasladar sus obligaciones de protección de datos a su proveedor de servicios de EE. UU. y, por lo tanto, mantenerse indemne, Schrems dijo que las promesas de conformidad con el RGPD solo se pueden verificar con un gran esfuerzo; hasta ahora nadie lo ha verificado y demandado todavía. En algunos casos, ya existen los correspondientes seguros de responsabilidad civil, pero son muy costosos y aún no se ha demostrado su validez. Con los denominados seguros de responsabilidad civil de administradores y directivos, al igual que con los seguros de defensa jurídica, conviene consultar las cláusulas de protección de datos, ya que pueden estar excluidas (algunas compañías de seguros ya lo hicieron).
Max Schrems considera realmente necesaria una enmienda del RGPD, entre otras cosas, porque las normativas actuales no prevén ninguna diferenciación según el tamaño de la empresa. Al fin y al cabo la propia industria es responsable de ello, ya que en su creación solo participaron las grandes empresas con sus correspondientes departamentos de grupos de presión. Y, definitivamente, nadie en Bruselas desea otra campaña de los grupos de presión de la misma envergadura.
Revise sus proveedores
Max Schrems aconseja a las empresas que se sienten inseguras después de la anulación del Escudo de privacidad que no lleven su dinero a la industria de la consultoría legal, sino que cuestionen a sus propios proveedores de servicios y los pongan a prueba. Encontrará aspectos esenciales sobre este tema en nuestro sitio web, así como un cuestionario (PDF) que puede utilizar para analizar a sus proveedores de servicios. «En muchos casos, la solución más simple y barata es trabajar con un proveedor de servicios europeo», afirma Max Schrems a modo de conclusión.