10 diciembre 2020
Transcurridos unos meses de la inhabilitación del marco Privacy Shield, analizamos las alternativas que están eligiendo algunos de los principales prestadores de servicios online. Debemos recordar que el Privacy Shield permitía a aquellas empresas estadounidenses (o con sede en EEUU) adheridas al acuerdo operar con datos personales de ciudadanos europeos. En el mes de julio pasado había más de 5.000 empresas adheridas al acuerdo, que vieron truncadas sus perspectivas de negocio con Europa.
Las transferencias internacionales de datos a Estados Unidos en la actualidad, generalmente se realizan conforme a las “Standard Contractual Clauses” (SCC).
Tal y como apuntamos en nuestro post del 20 de julio, la herramienta legal más efectiva para realizar transferencias internacionales de datos desde la Unión Europea a Estados Unidos fue derogada el 16 del mismo mes.
¿Qué es una transferencia internacional de datos?
Resumiéndolo del modo más sencillo posible, una transferencia internacional de datos es la circulación de datos personales desde la Unión Europea a otros territorios, y viceversa.
Siendo Internet la vía más utilizada actualmente por los usuarios cuando desean adquirir cualquier producto, contratar un servicio o, simplemente, obtener información, las páginas web son visitadas por millones de personas diariamente para satisfacer sus necesidades. A través de estas páginas web, se recaban cantidad de datos personales de los visitantes a través de cookies o formularios.
En numerosas ocasiones, los titulares de estas webs necesitan transferir estos datos a terceros Estados, bien para almacenarlos en sus servidores, bien para comunicarlos a un proveedor, de cara a poder prestar el servicio solicitado.
¿Por qué es tan importante una transferencia internacional de datos para el legislador?
La normativa europea actual sobre privacidad, fiel a su objetivo de que los usuarios posean un mayor control sobre sus datos personales, entienden este tipo de transferencias como un riesgo para lograr ese control.
A raíz de este riesgo, tuvo lugar en 2015 la anulación del Safe Harbour y, recientemente, también la de su sustituto, el Privacy Shield.
¿Cuál ha sido el principal motivo de esta anulación?
El Tribunal de Justicia de la Unión Europea (TJUE) (en su sentencia dictada en el “Caso Shrems contra Facebook – C-311/18), considera que Estados Unidos no garantiza un nivel de seguridad adecuado de los datos personales que son transferidos a este territorio, ya que el Gobierno de EE.UU. puede acceder a estos datos basándose en motivos de interés público o de seguridad ciudadana, sin respetar el principio de proporcionalidad, lo cual supone un riesgo.
El Privacy Shield suponía la mejor herramienta legal para realizar transferencias internacionales de datos, al ser un instrumento garante del cumplimiento, por parte de las empresas adheridas al acuerdo marco, de un nivel adecuado de protección de los derechos y la privacidad de los interesados.
Una vez que el “Escudo de Privacidad” ha sido anulado, ¿cuáles son las posibles soluciones, y cómo lo están solventando las grandes empresas?
Tras la desaparición del Safe Harbour, fueron habilitadas, -como principal solución-, las denominadas “Standard Contractual Clauses” (SCC) o “Claúsulas Contractuales Tipo”, cuya validez está siendo cuestionada actualmente por el TJUE. Sin embargo, su uso continúa siendo correcto y suficiente para cumplir adecuadamente con los mínimos exigidos en materia de privacidad y seguridad de los datos.
De hecho, los principales proveedores de servicios en Internet siguen apostando por el uso de las SCC a la hora de realizar acuerdos que impliquen transferencias internacionales de datos a Estados Unidos, a la espera de que el legislador europeo arroje algo de luz sobre las medidas complementarias que sea adecuado implementar en esta materia.
Como buenos ejemplos del modo de actuar de los principales proveedores de servicios en Internet, podemos destacar los siguientes:
– Amazon – AWS: utiliza SCC, señalando que los clientes y usuarios pueden seguir utilizando el servicio AWS, con la máxima garantía de seguridad de sus datos, y permitiendo a los clientes elegir el territorio en el que desean que se almacenen sus datos,
– Mailchimp: con el objetivo de garantizar la mayor privacidad y seguridad posible, y anticipándose a la posible derogación del Privacy Shield, activaron automáticamente las SCC, las cuales siguen utilizando. Afirman haber adoptado una serie de medidas para asegurar que los datos permanezcan protegidos cuando salgan fuera de la Unión Europea.
– Google: principalmente basa las transferencias fuera de la UE, Reino Unido y Suiza, en las SCC, y su política de privacidad (Condiciones de Procesamiento de Datos) se encuentra en continua actualización.
– Microsoft: ha invertido en los procesos necesarios para cumplir los requisitos de las SCC, ofreciendo a sus clientes garantías específicas en torno a las transferencias internacionales para los servicios de Microsoft,
· Importante: las alternativas al Privacy Shield, deben cumplirse íntegramente sin excepción, dado que el Reglamento Europeo de Protección de Datos (RGPD) guarda las sanciones más duras para este tipo de incumplimientos, que pueden alcanzar los 20 millones de euros, o el 4% del volumen de la facturación total del año anterior.
En definitiva, cuando se lleve a cabo un tratamiento de datos de carácter personal, que además incluya una transferencia internacional de datos, es conveniente asegurarse de que los receptores de estos datos han establecido las medidas adecuadas para asegurar la privacidad y la protección de esos datos.
Asimismo, en concordancia con lo que acabamos de señalar, tras la actualización de la Guía de Cookies de la Agencia Española de Protección de Datos, de julio de 2020, las transferencias internacionales de datos se han convertido en el punto más importante a la hora de actualizar las Políticas -de la mano del consentimiento-, dado que la mayoría de los sitios web realizan este tipo de transferencias, al encontrarse los servidores de sus proveedores fuera de la Unión Europea.
En este mismo sentido, conviene recordar que el pasado 31 de octubre finalizó el periodo habilitado por la AEPD para adaptar las Políticas de Cookies, siendo necesario solicitar el consentimiento de los usuarios antes de instalar una cookie, siempre que a través de esta puedan llevarse a cabo transferencias internacionales de datos.
De hecho, en fecha 26 de noviembre de 2020, fue publicada una noticia en la que se informaba de la sanción impuesta a CARREFOUR, por incumplimiento del deber de información a los usuarios, incluyendo, la ausencia de información sobre las transferencias internacionales de datos que se realizan. Esta sanción alcanzaba los 2.250.000 euros.
Por lo tanto, es crucial tanto el asegurarse de que las transferencias que realizamos sean seguras, porque tanto los titulares como los receptores de la información cumplen adecuadamente con los niveles de seguridad y privacidad, como el informar debidamente en las correspondientes Políticas sobre los tratamientos de datos personales realizados.
Comentarios
No hay comentarios