De las cookies a la actividad intercontinental

Publicado en El Confidencial el 05-04-2022

05-04-2022 — CM/2022/034

Las cookies de Google Analytics están en el punto de mira por los cientos de denuncias de infracción del Reglamento General de Protección de Datos (RGPD). Pero esto es solo la punta de un iceberg que podría paralizar los servicios en la nube desde los EE. UU.

Este problema radica en las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) Schrems I y II, que anularon, en 2016 y en 2020, los acuerdos conocidos como «Puerto Seguro» o «Safe Harbor» y «Escudo de Privacidad» o «Privacy Shield» entre la Comisión Europea y los EE. UU. para regular las transferencias intercontinentales de datos.

La anulación se fundamentó en que las leyes norteamericanas atribuyen a la CIA, al FBI y a la NSA unas potestades de investigación que no se adecúan a los estándares europeos de protección de derechos, al permitirles servirse de programas genéricos de vigilancia y requerir e incautar información personal sin justificación, y, además, impiden a los afectados demandar los abusos ante un juez independiente.

En la sentencia Schrems II, el TJUE manifestó que las empresas son las que tienen que verificar si el país de destino proporciona realmente un nivel de protección de datos adecuado y, en caso contrario, suspenderla o impedirla. A su vez, sugirió que se reforzaran las «model clauses», los modelos de contratos aprobados por la Comisión Europea que incluyen garantías y obligaciones adecuadas para proteger los datos transferidos.

En julio de 2021 el Parlamento Europeo publicó un estudio sobre las transferencias internacionales de datos entre la UE y los EE. UU. y propuso que se atribuyeran competencias a la Federal Trade Commission para tramitar acciones colectivas y sancionar las infracciones del RGPD europeo, que se modificaran las leyes de vigilancia americanas, y, además, que se facilitara a los ciudadanos europeos un recurso efectivo ante un tribunal independiente.

Sin embargo, no parece realista esperar que los EE. UU. limiten los poderes extraordinarios de sus agencias de información.

Atendiendo la sugerencia del TJUE, la Comisión Europea revisó las model clauses para reforzarlas, pero, las autoridades de Austria y de Francia han sido las primeras en manifestar que las model clauses reforzadas no protegen adecuadamente los datos y que las empresas deben paralizar las transferencias si es necesario y el resto de las autoridades se pronunciarán previsiblemente en este mismo sentido.

Sin embargo, las empresas no pueden suspender ni impedir estas transferencias, que son esenciales para su actividad.

Y, aunque todo gira en torno a Google Analytics, el problema alcanza a todas las transferencias de datos a los EE. UU. porque no existe un sistema de garantías que se adecúe al RGPD.

Recientemente, el Comité Europeo de Protección de Datos ha iniciado una investigación sobre la adecuación al RGPD del uso de servicios en la nube por el sector público de los Estados miembros que se centrará en los procedimientos de contratación, las transferencias internacionales de datos, y las garantías y reglas aplicables.

Aunque se limita al sector público, las conclusiones serán aplicables a todos los servicios de la nube prestados desde los Estados Unidos. En definitiva, esta acción es un primer paso para identificar los problemas que suscitan las sentencias Schrems y proponer soluciones.

Y el último movimiento ha sido el anuncio del principio de acuerdo entre la Comisión Europea y los Estados Unidos para aprobar un nuevo Marco Transatlántico de Privacidad de Datos que, dicen, resolverá el problema.

Según el comunicado oficial el nuevo marco generará un “mecanismo de reparación independiente de dos niveles” limitará la vigilancia de las agencias de investigación a las acciones estrictamente necesarias y adecuadas a los objetivos de seguridad nacional estadounidenses.

Sin embargo, Max Schrems, después de sus dos victorias, no ha tardado en cuestionar este nuevo marco que califica de acuerdo político carente de base legal. Afirma que EE. UU. no quiere modificar sus leyes de vigilancia ni acepta un acuerdo de “no espionaje” con garantías básicas, que según él sería la solución. Afirma que analizará el nuevo acuerdo y, si fuera necesario, lo impugnará ante el TJUE.

Por su parte, los proveedores de estos servicios comienzan a proponer soluciones basadas en la retención de los datos en Europa y el cifrado de la información con claves a disposición solo de los usuarios de los servicios. Sólo falta que las autoridades de control confirmen la suficiencia de estas soluciones.

Sin embargo, estas medidas no son aplicables a muchos servicios, que siguen planteando estos mismos problemas.

Ante este cuento de nunca acabar, solo queda esperar a las soluciones que proponga el Comité Europeo de Protección de Datos cuando termine la investigación o que, por fin, el acuerdo anunciado resista los envites del Sr. Schrems. Entre tanto, este juego continúa perjudicando a las empresas y a su capacidad de innovación.

Últimas noticias (ver todas)

La importancia de la elección ante el nuevo escenario de los vehículos alternativos

Cristina Mayo, socia
Francisco Aparicio, asociado principal

18-12-2024

Cristina Mayo y Francisco Aparicio, socia y asociado principal de finReg360, analizan en esta tribuna de opinión el auge en España de la inversión alternativa y la flexibilidad regulatoria de vehículos como los FILPE 2.0 (fondos de inversión a largo plazo europeos), las entidades de capital riesgo y los fondos de inversión libre.

En FundsPeople el 18-12-2024 | finReg

La ESMA expone nuevos criterios sobre los nombres de los fondos relacionados con la sostenibilidad

finReg360

18-12-2024

finReg360 explica que estas directrices establecen criterios específicos y, en el caso de los bonos verdes europeos, destacan que no se aplican ciertas exclusiones del Reglamento Delegado 2020/1818.

En Funds Society el 18-12-2024

Las ventas cruzadas en bancaseguros, en el ojo del huracán

Gloria Hernández Aler, socia
Irene Fernández, asociada principal

17-12-2024

Gloria Hernández Aler e Irene Fernández de Buján, socia y asociada principal de finReg360, analizan la práctica de los bancos de ofrecer préstamos hipotecarios o al consumo junto con productos accesorios, como seguros de vida o de protección de pagos, para mejorar las condiciones del préstamo (hipotecas o préstamos bonificados). Aunque estas combinaciones son legales con ciertos requisitos de transparencia, el Banco de España y la Autoridad Europea de Seguros y Pensiones de Jubilación han intensificado su supervisión para asegurar que sean beneficiosas para los clientes.

En El Confidencial el 17-12-2024 | finReg