Transferencias a EEUU – Medidas orientadas a mantener la relación con el proveedor

Los activistas que han denunciado a 101 empresas ante las autoridades de control de diversos países europeos por seguir transfiriendo datos a EEUU a través de Google Analytics y Facebook Connect han concentrado toda su atención en la interpretación del apartado 135 de la sentencia del TJUE (Schrems II).

Apartado 135 de la sentencia

Este apartado establece que la normativa de inteligencia exterior de EEUU impone al destinatario de una transferencia de datos personales procedentes de la Unión obligaciones que son contrarias a las cláusulas contractuales tipo y que, por tanto, pueden poner en entredicho la garantía contractual de un nivel de protección adecuado contra el acceso de las autoridades públicas de dicho país tercero a esos datos.

Sentada la premisa de que un proveedor norteamericano tiene la obligación de responder a los requerimientos de información que reciba de las autoridades de inteligencia exterior de EEUU, está claro que cualquier solución que propongamos será insuficiente.

Ineficacia de las medidas anunciadas

Ni las normas corporativas vinculantes, ni una nueva versión del las cláusulas contractuales tipo, ni una nueva decisión de adecuación de la Comisión, ni un nuevo acuerdo UE-EEUU, ni un acuerdo para que los datos estén en un servidor europeo será efectivo mientras subsista la obligación de las empresas norteamericanas de entregar los datos de los ciudadanos europeos a la NSA si ésta lo requiere. O mientras subsista la posibilidad de que la NSA intercepte las comunicaciones y obtenga los datos de forma masiva e indiscriminada.

Impacto en el negocio

Ello tiene un grave impacto en el negocio, ya que la industria del software se ha transformado radicalmente en los últimos 20 años y ha pasado de vender productos a vender servicios en la nube. Como consecuencia de ello, las empresas europeas que gestionaban sus datos en Europa con las aplicaciones que contrataban, ahora tienen sus datos en servidores controlados por empresas norteamericanas.

En los servicios más complejos como los relativos a CRM o ERP, el nivel de vinculación con el proveedor y los costes de migración a otro proveedor son muy altos, por lo que buscar alternativas en la UE no es una medida viable a corto plazo.

Modificación de la normativa de inteligencia exterior norteamericana

Es difícil que EEUU modifique la normativa que faculta a las autoridades de inteligencia exterior a requerir o interceptar datos de ciudadanos extranjeros, pero si no se introducen excepciones en esta normativa es difícil que un acuerdo UE-EEUU sea eficaz.

Esta semana se ha publicado la noticia relativa a la ilegalidad del programa de investigación masiva de la NSA. Sin embargo, la resolución del tribunal se refiere exclusivamente a la investigación de ciudadanos norteamericanos.

Riesgo real de acceso

Los activistas han puesto todos los datos, servicios y usuarios en el mismo saco, sin tener en cuenta las estadísticas de los requerimientos de información que han publicado los proveedores norteamericanos más transparentes. En estas estadísticas se puede apreciar que no tiene la misma probabilidad de acceso por parte de las autoridades de inteligencia exterior un servicio de CRM que un servicio de correo electrónico, una gran empresa que un particular.

Este análisis de riesgos es importante, y hemos detallado su alcance el la FASE 05 de nuestro protocolo de transferencias a EEUU.

Aviso de imposibilidad de cumplimiento de las cláusulas contractuales tipo

Las cláusulas contractuales tipo prevén la existencia de un protocolo que permita la suspensión inmediata de la transferencia y el borrado de los datos tras la comunicación de la recepción por parte del importador, de una solicitud de acceso a los datos remitida por una autoridad de inteligencia exterior.

Sin embargo, el proveedor puede ser requerido en la misma solicitud para que no realice esta comunicación al exportador de los datos, por lo que la comunicación a éste se limitaría a indicar la imposibilidad del importador de seguir cumpliendo sus obligaciones establecidas en las cláusulas.

La opción de suspensión y borrado serviría para servicios poco complejos, como los suministrados por una plataforma de mailing, pero no para un SAAS de CRM y mucho menos para un ERP.

Ocultación de los datos

En estos momentos, y a falta de una solución jurídica adecuada, la mejor opción es la que ya están aplicando algunas empresas. Consiste en ocultar los datos al proveedor o importador y a las autoridades de inteligencia exterior.

El propio Max Schrems ha validado estas medidas a contrario sensu al decir que no serían válidas si estuviesen bajo control del proveedor, por lo que, si dependen exclusivamente del exportador de los datos, es decir, de la empresa europea que contrata los servicios del proveedor, ofrecerán una garantía adecuada.

En este caso, los datos seguirán siendo personales, pero el encargado del tratamiento no podrá acceder a ellos, y si accede, no podrá comprenderlos.

Las diferentes medidas técnicas y organizativas que permiten esta ocultación están detalladas en la FASE 08 de nuestro protocolo con el fin de que las autoridades de inteligencia exterior no puedan tener un acceso útil a los datos estáticos ni a los datos en circulación.

Criterios del CEPD y de la AEPD

Tanto el Comité Europeo de Protección de Datos (CEPD) como la AEPD han manifestado en sus guías relativas a la gestión de brechas de seguridad que no será necesaria la comunicación a los afectados cuando el responsable haya tomado medidas técnicas y organizativas adecuadas, como hacer que los datos no sean inteligibles para personas o máquinas no autorizadas con anterioridad a la brecha de seguridad de datos personales.

Si tenemos en cuenta que la NSA sería una entidad no autorizada para acceder a los datos, y que un acceso permitido por la normativa norteamericana sería un acceso no autorizado, y por tanto una violación de la confidencialidad desde la perspectiva del RGPD, serán aplicables a este supuesto los criterios expresados en las referidas guías para las brechas de seguridad.

Uno de los criterios expresados por el CEPD en relación al cifrado establece que, siempre que la clave de cifrado permanezca bajo la custodia segura del responsable del tratamiento, los datos serán inaccesibles para personas no autorizadas. Esto significa, según el CEPD, que es poco probable que una violación de la confidencialidad en estas circunstancias constituya un riesgo para los derechos y las libertades de los interesados en cuestión. 

Fichas de proveedores

Con el fin de analizar las distintas medidas de ocultación de los datos descritas en la FASE 08 del protocolo que aplica cada proveedor, el protocolo contiene una sección de fichas de proveedor en el que se irán introduciendo los resultados del análisis que nuestro despacho está realizando sobre el nivel de exposición de cada proveedor a los 16 riesgos descritos en la FASE 05 y sobre la viabilidad de aplicar las medidas técnicas dela FASE 08.

Los primeros resultados indican que estas medidas no son útiles en el caso de las plataformas de mailings, pero en cambio son muy eficaces en las plataformas de CRM, ERP y similares, por lo que la aplicación de las cláusulas contractuales tipo, reforzadas con este tipo de medidas ha permitido a muchas empresas europeas seguir utilizando los servicios de estos proveedores tras la declaración de invalidez del Privacy Shield.