(Actualización: el caso fue posteriormente anulado en apelación. Puede encontrar un resumen de la sentencia de apelación en el gdprhub)
El 13 de julio, la Cámara de Contratación Pública del Estado alemán de Baden-Württemberg resolvió un caso sobre un procedimiento de contratación pública de un software de gestión digital. Al hacerlo, sostuvo que las transferencias de datos personales a los EE.UU. basadas en cláusulas contractuales tipo infringen el RGPD.
Cabe señalar que la Cámara no es una autoridad de protección de datos y que el caso no es, estrictamente hablando, un caso de protección de datos. Sin embargo, la decisión es bastante significativa. Varias APD europeas han adoptado un enfoque estricto en materia de transferencia de datos al tramitar las 101 denuncias de noyb. La decisión que nos ocupa indica que el enfoque de línea dura respecto a las transferencias de datos puede estar ganando terreno fuera de los estrechos límites de la legislación sobre protección de datos.
Además, la decisión se centra sobre todo en el aspecto del derecho administrativo. Las cuestiones de protección de datos en juego no se explican muy claramente y el razonamiento de la Sala sobre algunos puntos cruciales debe ser deducido por el lector. No es una decisión fácil de descifrar, pero hemos hecho todo lo posible por presentar lo esencial de forma precisa y legible.
¡Entremos de lleno!
El caso
Una autoridad pública convocó un concurso para la adquisición de software de gestión digital. Los criterios de adjudicación incluían requisitos de protección de datos y seguridad: en concreto, todos los datos debían tratarse de conformidad con el GDPR, así como con la ley federal de protección de datos. La licitación fue ganada por la filial en la UE de una empresa estadounidense (se omiten los nombres de las empresas).
Otra empresa que participó en la licitación pidió a la Sala que examinara la decisión, alegando que el servicio ofrecido por la empresa ganadora implicaba transferencias de datos estadounidenses que violaban el GDPR. De hecho, la empresa ganadora recurrió a la empresa derivada de AWS en la UE (Amazon Web Services EMEA SARL) como encargada del tratamiento. AWS EMEA ofrecía la opción de almacenar datos en la UE, pero aún revelaría datos personales a la empresa matriz en escenarios específicos:
- Para mantener el servicio o proporcionar soporte.
- Para cumplir la ley o una orden jurídicamente vinculante.
Las cláusulas contractuales tipo (CCT) eran el mecanismo de transferencia de datos con arreglo al RGPD. Como medida de salvaguardia adicional, la empresa cifró los datos y asumió la obligación de impugnar cualquier solicitud de acceso a los datos "exagerada o excesiva" de las autoridades.
La Sala sostuvo que la transferencia de datos infringía efectivamente el capítulo V del RGPD. Se ordenó a la autoridad pública que volviera a evaluar las ofertas, ya que el cumplimiento del GDPR era uno de los requisitos establecidos en el anuncio de licitación.
Principales puntos de la sentencia
- Las CSC no garantizan una protección adecuada de las transferencias de datos personales a los EE.UU.
- Las salvaguardias adicionales se consideraron insuficientes (pero los argumentos sobre el cifrado no fueron considerados por la Sala por razones de procedimiento)
- La mera accesibilidad de los datos personales de un proveedor estadounidense significa que existe una transferencia de datos y que se aplican las normas del GDPR sobre transferencias de datos. De hecho, los datos estaban localizados en la UE en el caso que nos ocupa. Aun así, la empresa matriz estadounidense podía acceder a ellos (el caso es en cierto modo similar a la reciente decisión de Datatilsynet sobre Google Workspace en este sentido).
El razonamiento que subyace a esta sentencia está en línea con la lógica de múltiples APD europeas y encuentra su fundamento en el hecho de que las empresas estadounidenses que se califican como "proveedoras de servicios de comunicaciones electrónicas" están obligadas a revelar datos a los servicios de inteligencia estadounidenses si así se les solicita.
Consecuencias de la sentencia
Es necesario subrayar algunos puntos. En primer lugar, la Cámara de Contratación Pública no es una autoridad de protección de datos ni un tribunal, sino una autoridad independiente que se ocupa del Derecho administrativo. Por lo tanto, la decisión probablemente no tendrá tanto peso como una decisión de una APD. En segundo lugar, la Cámara sólo es competente en relación con el Estado alemán de Baden-Württemberg; otras autoridades alemanas pueden adoptar un enfoque diferente.
Dicho esto, la decisión es bastante significativa. La Cámara de Contratación Pública no es uno de los actores centrales en la aplicación del marco de protección de datos de la UE y no suele participar en la interpretación del RGPD. Sin embargo, la decisión es coherente con el enfoque respaldado por varias APD europeas al tratar las 101 reclamaciones de noyb (que es el resultado de los esfuerzos de coordinación del Consejo Europeo de Protección de Datos). Esto podría ser una señal de que un enfoque de línea dura hacia las transferencias de datos está ganando impulso e influyendo en las autoridades menos involucradas en la aplicación del GDPR.
Reflexiones finales
La privacidad es un derecho humano y debe tratarse como tal. Los organismos reguladores de la UE por fin están enseñando los dientes. Para las organizaciones que quieren permanecer dentro de la ley, existen numerosas alternativas europeas que podrían sustituir a las contrapartes estadounidenses que está utilizando ahora.
Hemos creado Simple Analytics como una alternativa a Google Analytics que da prioridad a la privacidad. Creemos que no se trata sólo de cumplir la ley. Va más allá. Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Por eso hemos creado Simple Analytics sin mecanismos de seguimiento ni la posibilidad de recopilar datos personales, pero ofreciéndole la información que necesita. Si está de acuerdo con esto, no dude en probarlo.