Desde que el Tribunal de Justicia de la UE declaró nulos los acuerdos bilaterales sobre transferencia transatlántica de datos (Safe Harbor y posteriormente Escudo de Privacidad) a instancias del activista de protección de datos austriaco Max Schrems, cada vez son más los proveedores de servicios en la nube estadounidenses que se ven obligados a recurrir a las denominadas cláusulas contractuales estándar (standard contractual clauses, SCC). También en los proyectos con nuestros clientes nos llegan continuamente preguntas sobre qué actitud adoptar al respecto. A ello se añade la incertidumbre generada por leyes como la estadounidense CLOUD Act. Esta ley regula, para los proveedores estadounidenses, la revelación de datos a autoridades, incluso aunque los datos no estén almacenados en Estados Unidos, sino en servidores ubicados en Europa.
Schrems: escepticismo también ante las cláusulas contractuales estándar actualizadas
Naturalmente, un artículo de blog no puede ni debe sustituir al asesoramiento jurídico. No obstante, en este punto nos gustaría remitir de nuevo a nuestro artículo sobre la charla virtual que mantuvimos el año pasado con el propio Max Schrems. En aquel momento, Schrems aludía de forma muy explícita a la «evasión» que suponen las SCC. A este respecto, tenía en mente en particular las versiones actualizadas desde junio de 2021, pese a que su aplicación sería mucho más complicada, puesto que obliga en principio a evaluar individualmente cada caso concreto.
Los centros de datos europeos de proveedores estadounidenses no están protegidos del acceso por las autoridades
Según Schrems, no siempre es fácil evaluar la situación, sobre todo en el caso de los proveedores estadounidenses con tratamiento de datos distribuido geográficamente, como es habitual en áreas como el correo el electrónico, la seguridad o la distribución de contenidos. Sin embargo, Max Schrems ve claro que, incluso si los proveedores de servicios en la nube de EE. UU. utilizan sus propios centros de datos en Europa, esto no protege los datos almacenados allí contra el acceso a través de la Ley FISA, porque esta ley no tiene limitaciones geográficas.
Omisión de información a los interesados debido a requisitos de confidencialidad
En este contexto, se antojan especialmente problemáticos los requisitos de confidencialidad en el marco de las cartas de seguridad nacional (National Security Letters, NSL) y de la Ley de Vigilancia de la Inteligencia Extranjera (Foreign Intelligence Surveillance Act, FISA), que en ocasiones prohíben expresamente a los proveedores informar a los interesados sobre consultas de datos (para gran disgusto de grandes proveedores estadounidenses, como por ejemplo Microsoft).
Schrems aconseja preguntar directamente al proveedor y ponerlo a prueba
Pero volvamos a la cuestión que abría este artículo. ¿Qué aconseja Max Schrems a las empresas que sienten incertidumbre tras la anulación del Escudo de Privacidad? Durante nuestra charla se mostró muy convencido de que, en este sentido, en lugar de gastar dinero en la industria de la consultoría legal, las empresas más bien deberían preguntar directamente a sus proveedores de servicios y ponerlos a prueba a este respecto. Hemos agrupado en nuestro sitio web los aspectos clave que deben considerarse en este tema. Allí encontrará también un cuestionario que puede remitir a su proveedor de servicios de IT.