De las cookies a la actividad intercontinental

Publicado en El Confidencial el 05-04-2022

05-04-2022 — CM/2022/034

Las cookies de Google Analytics están en el punto de mira por los cientos de denuncias de infracción del Reglamento General de Protección de Datos (RGPD). Pero esto es solo la punta de un iceberg que podría paralizar los servicios en la nube desde los EE. UU.

Este problema radica en las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) Schrems I y II, que anularon, en 2016 y en 2020, los acuerdos conocidos como «Puerto Seguro» o «Safe Harbor» y «Escudo de Privacidad» o «Privacy Shield» entre la Comisión Europea y los EE. UU. para regular las transferencias intercontinentales de datos.

La anulación se fundamentó en que las leyes norteamericanas atribuyen a la CIA, al FBI y a la NSA unas potestades de investigación que no se adecúan a los estándares europeos de protección de derechos, al permitirles servirse de programas genéricos de vigilancia y requerir e incautar información personal sin justificación, y, además, impiden a los afectados demandar los abusos ante un juez independiente.

En la sentencia Schrems II, el TJUE manifestó que las empresas son las que tienen que verificar si el país de destino proporciona realmente un nivel de protección de datos adecuado y, en caso contrario, suspenderla o impedirla. A su vez, sugirió que se reforzaran las «model clauses», los modelos de contratos aprobados por la Comisión Europea que incluyen garantías y obligaciones adecuadas para proteger los datos transferidos.

En julio de 2021 el Parlamento Europeo publicó un estudio sobre las transferencias internacionales de datos entre la UE y los EE. UU. y propuso que se atribuyeran competencias a la Federal Trade Commission para tramitar acciones colectivas y sancionar las infracciones del RGPD europeo, que se modificaran las leyes de vigilancia americanas, y, además, que se facilitara a los ciudadanos europeos un recurso efectivo ante un tribunal independiente.

Sin embargo, no parece realista esperar que los EE. UU. limiten los poderes extraordinarios de sus agencias de información.

Atendiendo la sugerencia del TJUE, la Comisión Europea revisó las model clauses para reforzarlas, pero, las autoridades de Austria y de Francia han sido las primeras en manifestar que las model clauses reforzadas no protegen adecuadamente los datos y que las empresas deben paralizar las transferencias si es necesario y el resto de las autoridades se pronunciarán previsiblemente en este mismo sentido.

Sin embargo, las empresas no pueden suspender ni impedir estas transferencias, que son esenciales para su actividad.

Y, aunque todo gira en torno a Google Analytics, el problema alcanza a todas las transferencias de datos a los EE. UU. porque no existe un sistema de garantías que se adecúe al RGPD.

Recientemente, el Comité Europeo de Protección de Datos ha iniciado una investigación sobre la adecuación al RGPD del uso de servicios en la nube por el sector público de los Estados miembros que se centrará en los procedimientos de contratación, las transferencias internacionales de datos, y las garantías y reglas aplicables.

Aunque se limita al sector público, las conclusiones serán aplicables a todos los servicios de la nube prestados desde los Estados Unidos. En definitiva, esta acción es un primer paso para identificar los problemas que suscitan las sentencias Schrems y proponer soluciones.

Y el último movimiento ha sido el anuncio del principio de acuerdo entre la Comisión Europea y los Estados Unidos para aprobar un nuevo Marco Transatlántico de Privacidad de Datos que, dicen, resolverá el problema.

Según el comunicado oficial el nuevo marco generará un “mecanismo de reparación independiente de dos niveles” limitará la vigilancia de las agencias de investigación a las acciones estrictamente necesarias y adecuadas a los objetivos de seguridad nacional estadounidenses.

Sin embargo, Max Schrems, después de sus dos victorias, no ha tardado en cuestionar este nuevo marco que califica de acuerdo político carente de base legal. Afirma que EE. UU. no quiere modificar sus leyes de vigilancia ni acepta un acuerdo de “no espionaje” con garantías básicas, que según él sería la solución. Afirma que analizará el nuevo acuerdo y, si fuera necesario, lo impugnará ante el TJUE.

Por su parte, los proveedores de estos servicios comienzan a proponer soluciones basadas en la retención de los datos en Europa y el cifrado de la información con claves a disposición solo de los usuarios de los servicios. Sólo falta que las autoridades de control confirmen la suficiencia de estas soluciones.

Sin embargo, estas medidas no son aplicables a muchos servicios, que siguen planteando estos mismos problemas.

Ante este cuento de nunca acabar, solo queda esperar a las soluciones que proponga el Comité Europeo de Protección de Datos cuando termine la investigación o que, por fin, el acuerdo anunciado resista los envites del Sr. Schrems. Entre tanto, este juego continúa perjudicando a las empresas y a su capacidad de innovación.

Últimas noticias (ver todas)

Empresarios y abogados TIC denuncian la falta de trasposición de la directiva NIS2 en España, fuera ya de plazo

María Vidal, socia

18-10-2024

Maria Vidal Laso, socia de Protección de Datos y Nuevas Tecnologías de finReg360, participa en esta noticia en la que se explica que empresarios y abogados TIC denuncian el retraso en la trasposición de la directiva NIS 2 en España, cuyo plazo venció el 17 de octubre.

En Economist & Jurist el 18-10-2024

La Unión Europea publica su lista de países y territorios no cooperadores en cuestiones fiscales actualizada

finReg360

16-10-2024

«La lista actualizada incluye países y territorios que no han adquirido el compromiso suficiente en la prevención del blanqueo de capitales y de la financiación del terrorismo y, por ello, los considera países de alto riesgo en esta materia», explican desde finReg360.

En Funds Society el 16-10-2024

A debate los tres modelos de «partnership» de la abogacía de los negocios

Gloria Hernández Aler, socia

15-10-2024

En la mesa «Impacto del modelo de partnership en la rentabilidad y competitividad», dentro del Legal Management Forum, , se ha abordado los distintos modelos de la abogacía de los negocios en un mercado cada vez más desafiante. La ponencia contó con la intervención de Gloria Hernández Aler, socia de finReg360.

En Confilegal el 15-10-2024