Saltar contenido

Transferencias de datos a Estados Unidos: ¿hacia la normalización?

#Cybersecurity

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) anuló el Escudo de privacidad, el acuerdo de adecuación que asegura las transferencias de datos personales entre los Estados Unidos y la Unión Europea (UE). En ausencia de una decisión de adecuación, el Reglamento General de Protección de Datos (GDPR) exige una mayor seguridad para las transferencias de datos fuera del Espacio Económico Europeo (EEE).

Así, desde hace casi dos años, las empresas han tenido que implementar medidas legales, técnicas y organizativas a veces complejas para seguir utilizando soluciones tecnológicas extranjeras, particularmente de Estados Unidos.

Sin embargo, las decisiones recientes sobre el uso de Google Analytics demuestran que estas medidas en realidad no son suficientes para garantizar el cumplimiento del RGPD. En este contexto, el anuncio de un nuevo acuerdo de principio entre la UE y EE. UU. es recibido con alivio por las organizaciones interesadas. Sin embargo, queda cierto escepticismo en cuanto a la eficacia e incluso la durabilidad del futuro sistema.

Transferencias de datos personales: un concepto mal definido

Por sorprendente que parezca, la noción de transferencia no está claramente definida por el RGPD. Para la CNIL, hay transferencia tan pronto como hay una “comunicación, copia o movimiento de datos personales”. Esta definición amplia incluye una amplia gama de actividades, desde el almacenamiento hasta la simple consulta, que luego constituye procesamiento en el sentido del RGPD e implica el cumplimiento de sus disposiciones.

Entre estas actividades de transferencia, se distinguen las transferencias de datos a un destinatario fuera del Espacio Económico Europeo (EEE), que se conocen como transferencias transfronterizas.

Las transferencias transfronterizas son un hecho cotidiano y son esenciales tanto para el comercio como para la cooperación internacional. Sin embargo, a escala global, las desigualdades en la protección de la privacidad y las diferencias en las prioridades en cuanto a su equilibrio con la seguridad pública presentan un riesgo definitivo para los derechos y libertades de las personas. Precisamente por ello, las transferencias transfronterizas son objeto de especial atención, cuyo régimen se rige por lo dispuesto en el Capítulo V del RGPD.

Requiere que el controlador de datos (DC) y cualquier subcontratista (SC) garanticen que el nivel de protección de las personas no se vea comprometido durante una transferencia a un tercero ubicado fuera del EEE, lo que implica una comparación entre las garantías del RGPD y aquellas que ofrece la legislación del tercer país de destino. Frente a este principio rector, se vislumbran tres situaciones:

  1. Cuando el país receptor dispone de un marco legal e institucional capaz de asegurar un nivel de protección equivalente al del RGPD, esta situación es establecida por la Comisión Europea a través de una decisión de adecuación. A partir de entonces, cualquier traslado a un país adecuado (hay 14 a la fecha) está autorizado en principio.
  2. Por otro lado, las transferencias a países inadecuados deben realizarse dentro de un marco asegurado por medidas apropiadas que puedan garantizar el respeto de los derechos y libertades de las personas involucradas.
  3. Finalmente, en determinadas excepciones previstas en el artículo 49 del RGPD, la cesión podrá autorizarse con carácter derogatorio.

¿Cuáles son los mecanismos de transferencia en ausencia de una decisión de casamiento?

Para transferir datos personales a un país inadecuado, existen dos mecanismos de transferencia principales:

  1. La adopción de Normas Corporativas Vinculantes (BCR) que permite a los grupos que operan en territorio europeo regular internamente las transferencias de datos entre sus entidades;
  2. La firma de las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea, que permite la supervisión de las transferencias entre el exportador y el importador de datos.

A pesar de la complejidad y falta de flexibilidad de los STC, un estudio de Digital Europe realizado a finales de 2020 muestra que este es el mecanismo de transferencia más común en el sector privado. De hecho, de 300 grandes y medianas empresas consultadas, el 85% dijo estar preocupada por las TMC.

Un caso especial: las transferencias de datos a Estados Unidos

Estados Unidos, el mayor socio económico y político de la UE, siempre ha recibido un trato diferente. Habría que hablar con más precisión de acuerdos de adecuación que de reconocimiento unilateral de adecuación.

Ya en el año 2000, incluso antes de la adopción del RGPD, el primer acuerdo, el Safe Harbor, autorizó transferencias de datos personales entre la UE y los Estados Unidos.

El puerto seguro se mantuvo hasta 2013. Fue entonces cuando el denunciante Edward Snowden reveló que, con base en la Ley de Vigilancia de Inteligencia Extranjera (FISA) de 1978, la Agencia de Seguridad Nacional (NSA) estaba recopilando datos personales de los europeos en masa, con fines de elaboración de perfiles, entre otros.

Además de crear un clima de desconfianza entre el público en general, este escándalo puso de relieve la incapacidad de los acuerdos políticos como Safe Harbor para salvar el profundo desajuste entre la visión estadounidense de la seguridad nacional y la concepción europea de la privacidad.

Fue en una sentencia de 6 de octubre de 2015, conocida como Schrems I (llamada así por el denunciante austriaco que inició el recurso), que el TJUE invalidó finalmente Safe Harbour. En su momento, señaló que “una regulación que permita a las autoridades públicas el acceso general al contenido de las comunicaciones electrónicas debe ser considerada como una vulneración del contenido esencial del derecho fundamental al respeto a la vida privada”.

Solo cuatro meses después, la UE y los Estados Unidos anunciaron un nuevo acuerdo que rige las transferencias transatlánticas de datos: el Escudo de Privacidad. La decisión de adecuación que avala este acuerdo se produjo en menos de cinco meses.

Una vez más, Max Schrems impugnó el acuerdo por motivos similares, y el Escudo de privacidad cayó a su vez en la sentencia “Schrems II” del TJUE del 16 de julio de 2020. Estados Unidos se vio despojado de su decisión de adecuación por segunda vez.

En los meses siguientes, contrariamente a lo esperado, no se adoptó ningún nuevo acuerdo de adecuación. Por lo tanto, las organizaciones interesadas estaban obligadas a regular su tratamiento por medio de otros mecanismos.

El refuerzo de los requisitos europeos tras la sentencia Schrems II

En junio de 2021, un año después de la invalidación del Escudo de privacidad, el Consejo Europeo de Protección de Datos (EDPB) publicó sus recomendaciones específicas. Simultáneamente, la Comisión Europea adoptó una versión actualizada de los CCT (versión 2)2. Esta actualización de los CCT viene con dos plazos de implementación:

  • 3 meses, es decir, hasta el 27 de septiembre de 2021, para dejar de utilizar los CCT versión 1 para nuevos contratos;
  • 18 meses, o hasta el 27 de diciembre de 2022, para actualizar la LAB en contratos preexistentes.

La adopción de la versión 2 de CCT es consecuencia de la decisión Schrems II. Sin embargo, su aplicación no se limita a las transferencias a los Estados Unidos: cuestiona las transferencias a todos los países inapropiados.

Por lo tanto, las empresas se vieron rápidamente enfrentadas a la importante tarea de actualizar sus contratos. Sin embargo, para la Comisión, los CTC no son suficientes para garantizar el cumplimiento de las transferencias transfronterizas. También exige que estas actividades respeten las recomendaciones del EDPB, que endurece las normas sobre transferencias.

Transferencias post-Schrems II: un difícil proceso de cumplimiento

Estos nuevos requisitos parecen estar fuera de sintonía con la realidad del mercado. Una cuarta parte de las empresas no son conscientes de sus actividades de transferencia de datos y solo el 50% de las empresas, en su mayoría grandes grupos, declaran haber puesto en marcha un plan de acción para responder a las consecuencias de la sentencia Schrems II. Este último grupo ha estado enfrentando dificultades en varios niveles durante casi un año.

En primer lugar, las empresas se enfrentan a dificultades organizativas. Sin especificar una metodología, las recomendaciones del EDPB requieren un análisis del nivel de seguridad inherente a la transferencia transfronteriza planificada. Para cumplir con este requisito, observamos que la mayoría de las organizaciones realizan análisis de impacto de transferencia (TIA).

Además, el RGPD impone estos requisitos al exportador de datos, independientemente de si es un RT o ST. Sin embargo, el RGPD exige que el RT pueda demostrar el cumplimiento de su procesamiento, incluidas las transferencias, y su cadena de subcontratistas. En la práctica, observamos que muchos ST, aun siendo exportadores, desconocen -voluntariamente o no- sus obligaciones con respecto al CCT versión 2, y dejan en manos de los RT la realización de la AIT. Esta vaguedad tanto en el método a seguir como en el esquema de responsabilidad complica mucho el cumplimiento de las transferencias.

En segundo lugar, las empresas se encuentran con dificultades técnicas. Según el EDPB, si el análisis de la transferencia revela cierto riesgo para los datos, entonces el RT y el ST deben coordinarse para implementar medidas técnicas y organizativas (TOM) para asegurar las transferencias.

Sin embargo, los gigantes digitales dejan muy poco espacio para la personalización y negociación con sus clientes. Muchos de ellos se han limitado a publicar libros blancos sobre el supuesto cumplimiento de sus medidas de seguridad. Esto va acompañado de enlaces URL a cláusulas de protección de datos que pueden cambiar unilateralmente y TCC v2 que los RT deben cumplir automáticamente.

Es importante reconocer que en el caso de las soluciones en la nube de los EE. UU., dado que los datos se almacenan necesariamente en claro (sin cifrar) en los sistemas, actualmente no existe una medida satisfactoria para evitar el acceso a los datos por parte de las autoridades gubernamentales. Sin embargo, este es el corazón del problema con regulaciones como FISA pero también con la Ley de la Nube de 2018.

Finalmente, la última gran dificultad, consecuencia imprevista de la sentencia Schrems II: el efecto rebote. En efecto, en el caso de Estados Unidos, la extraterritorialidad de FISA y la Cloud Act implica que las filiales europeas de empresas estadounidenses pueden estar obligadas a transmitir datos personales a sus empresas matrices en texto claro, incluso si los datos solo se almacenan y tratan en Europa.

Durante casi un año, las empresas han estado realizando un verdadero acto de equilibrio para navegar a través de estas dificultades. Es en este clima de incertidumbre, fatalismo e incluso de actitud de espera que se tomaron las primeras decisiones de Google Analytics.

El colapso del statu quo tras las decisiones de Google Analytics

Durante 2021, None of your Business (NOYB), asociación cofundada por Max Schrems, presentó 101 denuncias ante varias autoridades de supervisión europeas contra sitios web que utilizan Google Analytics o Facebook Connect. Esto es lo que NOYB llama en broma los “101 dálmatas”.

En enero de 2022 cae la primera sanción. El Supervisor Europeo de Protección de Datos (SEPD) sancionó al Parlamento Europeo por el uso de cookies en el sitio web que había habilitado para permitir que sus empleados se registraran para las pruebas de COVID-19.

Además de un argumento general sobre la falta de información a los interesados ​​sobre el uso de determinadas cookies, el SEPD critica al Parlamento Europeo por el uso de Google Analytics alegando que implica la transferencia de datos a Google LLC en Estados Unidos. . En consecuencia, estos datos están sujetos a las disposiciones de FISA y Cloud Act y, por lo tanto, nada puede impedir su divulgación a los servicios de inteligencia estadounidenses. El SEPD, por lo tanto, notificó al Parlamento que pusiera fin a esta práctica.

Una semana después, fue el turno de la autoridad supervisora ​​austriaca (DSB) de emitir una decisión similar. El DSB subraya que incluso si se ha implementado CCT v2, se ha llevado a cabo una TIA y se han adoptado TOM adicionales, el uso de Google Analytics sigue siendo ilegal según el RGPD.

Luego, en febrero pasado, la autoridad de control francesa (CNIL) emitió su propia decisión. Analizó cada una de las medidas adicionales implementadas por RT y Google y concluyó que ninguna de ellas era suficiente para garantizar que los datos no serían proporcionados a las autoridades y servicios de inteligencia estadounidenses. Confirma que esta única posibilidad es contraria al artículo 44 y siguientes del RGPD. Al igual que el EDPS y el DSB antes que él, la CNIL no impone una sanción pecuniaria sino que emite una notificación formal.

Google Analytics, el último giro: un enfoque basado en el riesgo para las transferencias violaría el RGPD

En respuesta a estos fallos recientes, Google ha introducido una nueva versión de Google Analytics que, según se afirma, cumple con las normas, ya que anonimiza las direcciones IP recopiladas. Una vez más, en abril de este año, el DSB declaró ilegal la herramienta, en particular debido a que la anonimización de la IP solo tiene lugar después de que se hayan recopilado los datos.

Lo que es más preocupante, el DSB rechazó el argumento de Google basado en un enfoque basado en el riesgo. La autoridad señala que la legalidad de una transferencia (y por tanto la posibilidad de proceder o no) no depende del nivel de riesgo, el volumen o la sensibilidad de los datos.

Dada la cantidad de remisiones pendientes en toda la UE y la alineación de las 27 autoridades de control en un grupo de trabajo sobre el tema, no hay duda de que seguirán otras decisiones similares, posiblemente más severas con la imposición de sanciones económicas.

En los diversos sectores, mientras que la decisión Schrems II a veces se trató a la ligera, ahora estamos viendo una conciencia real de los problemas asociados con las transferencias de datos a los Estados Unidos. El pánico se está instalando. Muchos servidores web están abandonando Google Analytics a raíz de la decisión o se están preparando para hacerlo. Las empresas están comenzando a mapear sus herramientas utilizando la solución de Google para considerar alternativas europeas y poder hacer comparaciones y estimaciones de costos.

La perspectiva de un nuevo acuerdo

El pasado mes de marzo, la Comisión Europea y la Casa Blanca anunciaron conjuntamente que habían llegado a un principio de acuerdo sobre un nuevo marco bilateral para las transferencias de datos entre la UE y EE. UU.

Hasta la fecha no se ha publicado ningún borrador de este acuerdo. Los acuerdos, en principio, suelen tardar entre 2 y 4 meses en traducirse en un texto legal. El anuncio, sin embargo, insinúa algunas de las líneas generales del acuerdo que buscan abordar directamente las razones que llevaron a la cancelación del Escudo de privacidad.

Estados Unidos se ha comprometido así a reformar su régimen de protección de datos personales en el contexto específico de las actividades de inteligencia. En particular, estas actividades deberán tener en cuenta los principios de necesidad y proporcionalidad en el contexto de las solicitudes de acceso a datos personales por razones de seguridad nacional. Además, Estados Unidos se ha comprometido a establecer un mecanismo de reparación de dos niveles y a proporcionar información clara y transparente sobre sus actividades de inteligencia.

Finalmente, la Comisión y la Casa Blanca hablaron sobre el establecimiento de un tribunal independiente que tendrá jurisdicción para manejar las quejas de las personas afectadas por una transferencia de sus datos a los Estados Unidos y una solicitud de acceso de las agencias gubernamentales o los servicios de inteligencia de los EE. UU.

¿Otra decepción o acto final?

Estos compromisos provocan dos tipos de reacciones:

  • Los optimistas lo ven como un aseguramiento rápido y seguro de sus actividades de transferencia a los Estados Unidos. Pero este anuncio no mitiga su pesar por las inversiones y trabajos realizados a raíz de la decisión Schrems II.
  • Algunas organizaciones menos optimistas señalan que este nuevo acuerdo de adecuación sólo concierne a Estados Unidos y, por tanto, no cambiará la nueva doctrina adoptada respecto a las transferencias a países no aptos (y en particular, cabe recordar, en el caso de transferencias posteriores). Además, el tiempo necesario para traducir el acuerdo en disposiciones legales aún deja dudas sobre el uso de herramientas como Google Analytics o reCAPTCHA.

El contexto particular del conflicto ruso-ucraniano

Finalmente, vale la pena recordar el contexto particular en el que se anunció este acuerdo. Se concluyó al mismo tiempo que otro acuerdo transatlántico, el del suministro de gas de Estados Unidos a la UE en respuesta al conflicto ruso-ucraniano y la consiguiente escasez de gas natural.

Durante dos años, los órganos ejecutivos y judiciales europeos han insistido en que Cloud Act y FISA compiten con los principios del RGPD. La aceptación de este acuerdo en principio es, por tanto, cuestionable, aunque Estados Unidos mantiene su posición de que una Ley contra el espionaje es impensable. En otras palabras, no hay forma de evitar que los servicios de inteligencia estadounidenses soliciten acceso a datos europeos.

Cabe recordar que las transferencias de datos personales a Estados Unidos dan como resultado una economía que representa cerca de 1.000 billones de euros para Estados Unidos.

Este nuevo acuerdo transatlántico sobre protección de datos, por tanto, parece ser una simple moneda de cambio que Estados Unidos ha impuesto para su cooperación con el acuerdo sobre el suministro de gas natural.

¿Otro acuerdo político más destinado a desaparecer?

Al igual que Safe Harbor y Privacy Shield, el nuevo acuerdo transatlántico parece ser un acuerdo político más. Y es difícil imaginar cómo, sin la Ley No-Spy, este acuerdo podría cumplir con los requisitos del TJUE y las autoridades de control.

En un comunicado sobre este nuevo acuerdo3, el EDPB ya ha expresado reservas. Además, el TJUE también manifiesta que está preparado para evaluar el cumplimiento de este nuevo acuerdo si el asunto le es remitido.

Puede que no haya que esperar mucho para que esto suceda, ya que Max Schrems ya ha declarado que la asociación NOYB espera con impaciencia el borrador del acuerdo, que sus expertos estudiarán en detalle.

Por lo tanto, es probable que este acuerdo sea solo un Privacy Shield 2.0 que desaparecerá a su vez. Estamos lejos de la decisión de adecuación permanente tan esperada por los actores del sector de la privacidad.

El peligro de esperar el acuerdo

Bajo estas condiciones, es crucial no relajar los esfuerzos de cumplimiento a través de la implementación de la versión 2 de TCC. Estos no solo seguirán aplicándose a destinos fuera de los EE. UU., sino que también son una oportunidad para fortalecer sus procesos de privacidad por diseño y mejorar en gran medida su resiliencia de seguridad.

Decisión de adecuación o no, ya no podemos permanecer ciegos ante los riesgos que la legislación estadounidense supone para la privacidad. Un sentimiento compartido por las autoridades europeas que han aprovechado la oportunidad para intentar reforzar la regulación del sector digital.

El equipo de Ciberseguridad de Devoteam está listo para ayudarlo a tener en cuenta todos sus escenarios.

Para obtener más información sobre cómo podemos ayudarlo en el cumplimiento de sus organizaciones, comuníquese con nuestros expertos en cumplimiento.

https://www.digitaleurope.org/resources/schrems-ii-impact-survey-report/
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX: 32021D0914&locale=fr
https://www.cnil.fr/sites/default/files/atoms/files/declaration_01-2022_du_cedpb_sur_lannonce_dun_accord_de_principe_sur_un_nouveau_cadre_transatlantique_pour_la_protection_des_donnees.pdf