Las transferencias de datos entre la UE y EE.UU. son uno de los temas más debatidos actualmente en la legislación sobre protección de datos. Innumerables empresas y organismos gubernamentales de toda Europa dependen de algún modo de un procesador con sede en EE.UU. para sus operaciones. Sin embargo, estas transferencias de datos plantean riesgos para la privacidad que son difíciles, si no imposibles, de mitigar.
Ya hemos hablado de las transferencias de datos en un blog que resume la larga historia que hay detrás de las decisiones de la DPA contra Google Analytics. Sin embargo, esta vez vamos a analizar las transferencias de datos desde un punto de vista más general e intentaremos explicar con más detalle las cuestiones jurídicas en juego.
- ¿Cómo funcionan las transferencias de datos con arreglo al RGPD?
- Transferencias de datos a Estados Unidos. Una larga historia resumida
- Medidas complementarias para las transferencias de datos
- El enfoque basado en el riesgo
- ¿Y ahora qué?
- Actualizaciones
- Conclusiones
¿Cómo funcionan las transferencias de datos con arreglo al RGPD?
El RGPD contiene todo tipo de normas para proteger los derechos de las personas. Pero, ¿qué ocurre cuando sus datos se transfieren a un tercer país fuera del EEE?
El RGPD contiene un capítulo específico sobre transferencias de datos, que consta de siete artículos (44-50). Estas normas pretenden garantizar que los datos personales gocen del mismo nivel de protección cuando se transfieren1.
En la práctica, una transferencia de datos a un tercer país sólo es lícita cuando se basa en uno de los varios mecanismos enumerados por el RGPD. Para ser breves, nos centraremos en los que realmente importan en la práctica: las decisiones de adecuación y las cláusulas contractuales tipo.
Decisiones de adecuación
Las decisiones de adecuación son decisiones de la Comisión Europea que básicamente dan luz verde a las transferencias de datos a un país específico2. Antes de tomar una decisión de adecuación, se examina a fondo el ordenamiento jurídico de ese país y se garantiza que otorga un nivel de protección suficiente3.
Si tiene una decisión de adecuación para la transferencia que necesita, está de suerte. Las decisiones de adecuación son una forma fácil y sin complicaciones de transferir datos. Sin embargo, sólo cubren un pequeño número de países.
Tenga en cuenta que las decisiones de adecuación no son decisiones políticas. Es decir, la Comisión no es libre de declarar adecuado un país sólo porque le guste o porque sea un aliado político; debe asegurarse de que las transferencias de datos a ese país son realmente seguras y debe tener en cuenta algunos criterios específicos. El Tribunal de Justicia puede invalidar una decisión de adecuación de un país que no cumpla estos criterios, lo que ha ocurrido dos veces con Estados Unidos.
Cláusulas contractuales estándar
Cuando no pueda confiar en una decisión de adecuación, necesitará otro mecanismo para las transferencias de datos. El artículo 46 enumera seis de ellos, pero en la práctica lo más probable es que utilice las cláusulas contractuales tipo (CCT)4.
Las cláusulas contractuales tipo son un conjunto de cláusulas estándar redactadas por la Comisión Europea5. Cuando alguien transfiere datos a un tercer país, debe incluir estas cláusulas en un acuerdo jurídicamente vinculante con el destinatario. Así pues, lo ideal es que las cláusulas SCC garanticen la seguridad de la transferencia al incorporar las normas de protección de datos a un contrato entre las partes.
El principal defecto de los CEC es que no vinculan al Estado receptor. Por esta razón, proporcionan poca o ninguna protección contra la vigilancia estatal. Esto no significa que las CEC no puedan utilizarse cuando se trata de países "inseguros". En ese caso, serán necesarias "medidas suplementarias", como en el caso de las transferencias de datos estadounidenses.
En otras palabras, el responsable del tratamiento debe asegurarse de que las SCC garantizan una protección suficiente en la práctica y, si no es así, debe tomar medidas suplementarias para mantener la confidencialidad de los datos. Como veremos, esto es muy difícil cuando se trata de vigilancia estatal.
¿Qué ocurre con otros mecanismos?
Como hemos dicho, el RGPD proporciona instrumentos de transferencia distintos de las CEC y las decisiones de adecuación6, pero no se utilizan con frecuencia en la práctica. Las normas corporativas vinculantes (Binding Corporate Rules, BCR) se utilizan para transferir datos dentro de las sucursales de una empresa. Sin embargo, las grandes empresas suelen preferir establecer empresas separadas en el EEE y controlarlas mediante la propiedad del capital (pensemos en Google Ireland y Meta Ireland). Las certificaciones y los códigos de conducta pueden ganar terreno en el futuro, pero de momento no se utilizan mucho.
Fundamentalmente, todos estos instrumentos adolecen de los mismos problemas que los CEC cuando se trata de Estados "inseguros" porque no vinculan al Estado receptor (los instrumentos jurídicamente vinculantes entre organismos públicos son la excepción, pero las entidades privadas no pueden basarse en ellos).
Transferencias de datos a Estados Unidos. Una larga historia resumida
Para entender en qué punto nos encontramos ahora en lo que respecta a las transferencias de datos en EE.UU., tenemos que echar un vistazo rápido a una historia de una década de batallas legales.
Schrems I
De 2000 a 2015, las transferencias de datos entre la UE y Estados Unidos estaban cubiertas por un acuerdo de transferencia de datos llamado Safe Harbor.
En 2013, el denunciante estadounidense Edward Snowden filtró documentos confidenciales sobre las operaciones de la CIA y la NSA. Las revelaciones contenían registros sobre operaciones de recopilación masiva de datos dirigidos a ciudadanos extranjeros a gran escala y se basaban en la Sección 702 de la ley FISA y la Orden Ejecutiva 12333.
Poco después de las revelaciones de Snowden, el ciudadano austriaco Max Schrems presentó una denuncia contra Facebook Irlanda ante la autoridad de control irlandesa (DPC). Afirmaba que la transferencia de sus datos personales a Facebook Inc. era insegura e ilegal debido al alcance y la omnipresencia de la vigilancia estatal en Estados Unidos, tal y como se documenta en los archivos Snowden.
En 2015 el caso aterrizó en el Tribunal de Justicia de la UE, que falló a favor de Schrem e invalidó el régimen de Puerto Seguro.
Schrems II
El caso de Schrems continuó y fue remitido al TJUE por segunda vez. En 2020, el Tribunal volvió a fallar a favor de Schrems. Invalidó el Escudo de Privacidad, otro marco para las transferencias de datos que sustituyó al régimen de Puerto Seguro entre las dos sentencias Schrems.
En el caso también se cuestionó la validez de las CEC como mecanismo de transferencia. El Tribunal no invalidó las CEC en la sentencia. Sin embargo, declaró que eran necesarias medidas complementarias para proteger los datos de las prácticas de vigilancia en países "inseguros" como EE.UU. En otras palabras, el Tribunal "perdonó" a las CEC, pero también las hizo más complicadas y gravosas de utilizar.
En general, la sentencia Schrems II complicó mucho las transferencias de datos a Estados Unidos. Las empresas ya no pueden confiar en una decisión de adecuación tras la invalidación del Escudo de la privacidad y tienen que utilizar otros instrumentos (normalmente las CEC) en su lugar. También tienen que aplicar medidas complementarias adecuadas para contrarrestar el riesgo de vigilancia estatal.
Las 101 denuncias
A pesar del pánico generalizado a las transferencias de datos, la mayoría de las empresas siguieron actuando con normalidad y transfiriendo datos a Estados Unidos como si Schrems II no hubiera existido.
Pero justo después de la sentencia Schrems II, noyb (una ONG de defensa de la privacidad fundada por Schrems) presentó 101 denuncias centradas en las transferencias de datos. Las denuncias se presentaron ante las APD de varios Estados miembros y van dirigidas a sitios web que utilizan los servicios estadounidenses Google Analytics y Facebook Connect. Estas denuncias son un esfuerzo estratégico para conseguir que las APD europeas apliquen rigurosamente la sentencia Schrems II.
El EDPB (abreviatura de European Data Protection Board, una institución europea que reúne a todas las DPA europeas) creó posteriormente un grupo de trabajo para coordinar el enfoque de las DPA europeas a las denuncias de noyb. Por lo que parece, el grupo de trabajo hizo un buen trabajo: tres APD aceptaron las denuncias contra Google Analytics hasta el momento, y la APD holandesa declaró que podría seguir su ejemplo. En un reciente comunicado de prensa, la DPA danesa también adoptó el mismo enfoque y declaró ilegal el uso de Google Analytics.
Pero el problema va más allá de Google Analytics. El razonamiento que llevó a prohibir Google Analytics en algunos Estados miembros puede llevar algún día a prohibir muchos otros servicios, incluidos los servicios en la nube, que son prácticamente indispensables para la economía europea en estos momentos.
Medidas complementarias para las transferencias de datos
Y ahora la pregunta del billón de dólares: ¿qué medidas complementarias son eficaces contra la vigilancia estadounidense?
La EDPD sugirió algunas soluciones en sus directrices sobre medidas suplementarias, pero son pocas y todas tienen importantes limitaciones. Hay que señalar que sólo se trata de sugerencias generales: no hay una respuesta clara a la pregunta, ya que las salvaguardias deben elegirse y evaluarse caso por caso.
Cifrado
Hay que hacer una distinción fundamental entre el cifrado de extremo a extremo y otras formas de cifrado.
El cifrado de extremo aextremo puede ser una protección eficaz7. Sin embargo, también limita lo que puede hacerse con los datos. Algunas operaciones de tratamiento son más difíciles con datos encriptados, y otras simplemente requieren el acceso a algunos datos en claro. Por ejemplo, el proveedor de un servicio de correo electrónico cifrado de extremo a extremo necesita procesar la dirección del remitente y del destinatario en claro para entregar el correo. Esta información sigue siendo datos personales con arreglo al RGPD.
Por otra parte, el cifrado no de extremo a extremo nunca es una salvaguardia eficaz. Si el proveedor de servicios posee una clave de descifrado8, se le puede exigir que la entregue en virtud de la ley FISA junto con los datos cifrados. En otras palabras, tus datos están en una caja fuerte, pero las empresas pueden verse obligadas a entregar la clave. Esta es la razón por la que las APD austriaca, francesa e italiana desestimaron el cifrado de datos de Google Analytics por irrelevante a la hora de tramitar las quejas de noyb.
Para que quede claro, el cifrado no extremo a extremo sigue siendo una medida de ciberseguridad útil, ya que protege eficazmente contra los ataques. Sólo que no ayuda contra la legislación de vigilancia.
Servidores proxy
La DPA francesa ha propuesto los servidores proxy como una protección eficaz para utilizar Google Analytics. Lo son, pero no pueden utilizarse para todas las transferencias de datos. Además, su implantación es onerosa y costosa, como reconoce la propia DPA francesa.
En teoría, la idea es sencilla: en lugar de enviar los datos directamente a Google, se hace a través de un servidor proxy y se filtran o anonimizan todos los datos personales antes de enviarlos a Google.
Aquí está el truco: debe alojar y ejecutar Google Analytics en su propio servidor. Esto significa que debe mantener el servidor y actualizar manualmente el software, además de escribir el código para anonimizar los datos personales. Esto es mucho más complicado y caro que pagar por una alternativa que cumpla con el GDPR.
Además, esta solución requiere un control total de la infraestructura. No es una opción atractiva para utilizar servicios en la nube, ya que la principal ventaja de las nubes es que, para empezar, no se necesita ninguna infraestructura física.
Pseudonimización
La EDPB también sugiere la seudonimización 9. En pocas palabras, la seudonimización significa que sólo se pueden transferir datos que no puedan utilizarse para volver a identificar al interesado, ni siquiera en combinación con otros datos.
La seudonimización no es anonimización según el GDPR, pero sin duda puede ser una medida de privacidad útil. También puede ser difícil de aplicar correctamente. No basta con sustituir los identificadores por seudónimos, ya que puede ser necesario procesar y transferir muchos otros datos potencialmente identificativos. En algunos casos, la seudonimización adecuada de todos los datos que transfiera será imposible o hará que el tratamiento sea prácticamente inútil.
El responsable del tratamiento también debe tener en cuenta la vinculación de los datos, es decir, la posibilidad de que alguien pueda volver a identificar al interesado combinando los datos exportados con cualquier otra información que posea. Evaluar el riesgo de reidentificación es difícil cuando se trata de vigilancia estatal, ya que las agencias de inteligencia recopilan mucha información sobre mucha gente y no son transparentes sobre la información que poseen; al fin y al cabo, ese es su trabajo.
El enfoque basado en el riesgo
Algunas empresas adoptan un enfoque basado en el riesgo para las transferencias de datos. Básicamente afirman que una transferencia es segura y lícita cuando existe una probabilidad suficientemente baja de que los datos transferidos sean objeto de vigilancia.
Sin embargo, el capítulo V del RGPD nunca hace referencia a la noción de riesgo10, y la Decisión Schrems II nunca considera la probabilidad de que los datos sean objeto de vigilancia. Esta es la razón por la que la JEPD, el SEPD11 y las APD austriaca e italiana12 han rechazado explícitamente el enfoque basado en el riesgo.
Para ser claros: al transferir datos, un exportador debe evaluar si los datos específicos que está exportando están sujetos a alguna legislación de vigilancia "problemática" en primer lugar. Esta pregunta es necesaria para evaluar las transferencias de datos y no debe confundirse con el enfoque basado en el riesgo que las APD rechazan actualmente.
Pero la respuesta a esta pregunta será "sí" para la mayoría (si no todas) las transferencias de datos estadounidenses, porque el ámbito de aplicación de la FISA parece ser bastante amplio en la práctica, como demuestran los archivos Snowden.
¿Y ahora qué?
Como hemos visto, las transferencias de datos son todo un rompecabezas jurídico en estos momentos. Las salvaguardias efectivas son muy escasas y no existen en absoluto para algunas transferencias. Al mismo tiempo, las autoridades están avanzando hacia un enfoque más estricto de las transferencias de datos.
Por supuesto, esto va más allá de Google Analytics. Una postura estricta sobre la transferencia de datos podría hacer ilegal el uso de muchos proveedores de servicios con sede en Estados Unidos, incluidos los servicios basados en la nube, que ahora mismo son prácticamente insustituibles.
Por eso la transferencia de datos es una cuestión muy delicada. Por un lado, las salvaguardias de privacidad del RGPD no deben verse socavadas por las transferencias de datos. Por otro lado, no es razonable trasladar por completo la carga del cumplimiento a las empresas. Obligar a las empresas a abandonar GA en favor de otras herramientas de análisis es una cosa. Esperar que se las arreglen sin Oracle o AWS es algo totalmente distinto.
Por eso es necesario encontrar una solución política en algún momento. La Comisión Europea y el Gobierno de EE.UU. trabajan actualmente en otro acuerdo de transferencia de datos, y se espera en breve una orden ejecutiva sobre transferencias de datos del Presidente Biden. Sin embargo, EE.UU. no ha modificado su legislación en materia de vigilancia desde la sentencia Schrems II, y sin tales cambios, un nuevo marco de transferencia de datos podría no sobrevivir a una sentencia Schrems III.
Actualizaciones
El nuevo marco de transferencia de datos va por buen camino. El Presidente de Estados Unidos, Joe Biden, publicó una orden ejecutiva sobre actividades de vigilancia en octubre de 2022 y la Comisión Europea publicó un proyecto de decisión de adecuación dos meses después. Ahora el proyecto debe ser votado por los Estados miembros de la UE para entrar en vigor. La aprobación es bastante probable a pesar de la opinión negativa del Parlamento de la UE.
Noyb tiene intención de impugnar la decisión ante el Tribunal de Justicia de la UE, por lo que estamos ante una próxima sentencia Schrems III. El nuevo marco es complejo y es difícil saber cómo se desarrollarán los acontecimientos, pero existe el riesgo de que el Tribunal invalide otro marco de transferencia de datos. De momento, el futuro de las transferencias de datos sigue siendo incierto.
En otro acontecimiento importante para las transferencias de datos, Meta se enfrenta actualmente al riesgo de un apagón de Facebook en toda Europa. En mayo de 2023, la autoridad irlandesa de protección de datos impuso a Meta Platforms Ireland una multa récord de 1.200 millones de euros y ordenó a la empresa _cesar las transferencias de datos a Estados Unidos_ para su servicio de Facebook. El Consejo Europeo de Protección de Datos participó directamente en esta importante y controvertida decisión. Puede obtener más información aquí._
Conclusiones
Aunque los problemas relacionados con las transferencias de datos continuarán en un futuro previsible, las empresas pueden protegerse utilizando alternativas de la UE a los servicios en la nube estadounidenses.
El GDPR está aquí para proteger los datos de los ciudadanos de la UE. Cumplir la ley debe ser una prioridad para todas las empresas. Además, creemos que las empresas deben ir más allá del mero cumplimiento de la ley.
Internet será un lugar mejor si las organizaciones desarrollan su actividad sin depender de herramientas que invaden la privacidad, como Google Analytics. Es lo correcto desde un punto de vista ético. Por eso hemos creado Simple Analytics, una alternativa a Google Analytics que da prioridad a la privacidad, que no requiere cookies por diseño y que no recopila ningún dato personal a la vez que proporciona la información que usted necesita.
Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Si está de acuerdo con esto, no dude en probarnos.
#1 Art. 44(2) GDPR. [^2]: Art. 45 GDPR. [^3]: Art. 45(2) GDPR [^4]: Art. 46(2)(c) GDPR [^5]: Técnicamente, una APD podría redactar sus propios CEC y presentarlos a la Comisión para su aprobación (art. 46(2)(d) GDPR). Pero en la práctica, cuando alguien habla de CEC, siempre se refiere a las de la Comisión [^6]: Art. 46 DEL RGPD [^7]: Recomendaciones 01/2020 del OEPD sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE, versión 2.0, par. 84. [^8]: Recomendaciones 01/2020 del OEPD sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE, versión 2.0, apartado 81. 81. [^9]: Recomendaciones 01/2020 del OEPD sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE, versión 2.0, apdo. 85. 10. 85. [^10]: El RGPD adopta un enfoque basado en el riesgo para algunas obligaciones de cumplimiento (por ejemplo, las obligaciones de seguridad en virtud del artículo 32 del RGPD), pero no es el caso de las transferencias de datos [^11]: Dictamen conjunto 2/2021 del SEPD sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, par. 86 y 87. [^12]: El argumento no se planteó ante la CNIL francesa.