El ultimatum de la UE al Privacy Shield ha expirado. Y ahora ¿qué?

Soft skills
DPO, hard skills & soft skills
1 de agosto de 2018
LOPD 2.0
La LOPD 2.0, próxima a su aprobación
18 de octubre de 2018
Mostrar todo

El ultimatum de la UE al Privacy Shield ha expirado. Y ahora ¿qué?

Se agotó el tiempo para la Administración Trump. El Parlamento Europeo, en su Resolución del 26 de junio de este año exhorta a la Comisión a suspender sine die el Privacy Shield hasta que los Estados Unidos adopten las medidas oportunas y necesarias para que este acuerdo cumpla con las exigencias del RGPD, puesto que en la situación actual se detectan importantes deficiencias que comprometen la privacidad de los ciudadanos europeos, y además sitúan a las empresas europeas en clara desventaja competitiva con las estadounidenses.

La lista de considerandos que el Parlamento estudió para dictar esta Resolución es amplísima, y por supuesto no podían dejar pasar el escándalo de Facebook y Cambridge Analytica. Pero no creamos que por sonado fue el elemento clave que propició la adopción de esta recomendación.

Es cierto que el Parlamento reconoce que con respecto al antiguo Safe Harbour, la situación ha mejorado. Pero esto no quiere decir que la situación actual satisfaga al legislador europeo. A la cantidad de lagunas existentes, irregularidades y escándalos que han ido salpicando  las relaciones EE.UU – UE se unió la adopción de la Cloud Act (H.R. 4943), y posíblemente ésta si fue una de las gotas que colmó el vaso.

Sea como fuere, el plazo ha pasado y por parte de Estados Unidos no se ha apreciado otra cosa que inacción. El 1 de septiembre quedó atrás. Ahora el exhorto del Parlamento a la Comisión debería cobrar fuerza y ésta debería suspender inmediatamente el Privacy Shield con EE.UU.

Es claro que existen numerosos y muy importantes intereses económicos y políticos en juego. Pero al final, los acuerdos están para cumplirlos y las garantías para ser observadas.
Así como Japón ha seguido la senda correcta (es obvia la seriedad que les caracteriza) y está a punto de recibir el estatus de país seguro mediante un procedimiento de decisión de adecuación (ex art. 45.1 RGPD), Estados Unidos está a un paso de perder esa misma condición y por lo tanto, al no poder garantizar unas condiciones adecuadas de seguridad en las transferencias internacionales de datos, desaparecer de la lista de terceros países con los que  los encargados de tratamiento pueden efectuar operaciones sin necesidad de solicitar una autorización previa a las autoridades de control.

¿En qué se traduce ésto, en la práctica? Fácil. Un ejemplo sería aquellas bases de datos de nuestros clientes que se alojan en servidores alojados en territorio estadounidense, como MailChimp, y a las que alimentamos continuamente con nuevos datos personales de ciudadanos europeos… Imaginemos vernos en la tesitura de solicitar una autorización a la Agencia Española de Protección de Datos para poder seguir trabajando con un proveedor habitual, que casi con toda seguridad sí cumple con los requerimientos del RGPD, pero que ahora debe ser examinado con lupa por estar sometido a jurisdicción estadounidense… Todo un drama en los departamentos de marketing para cumplir, como no puede ser de otra forma, con la normativa europea.

Personalmente llevo recomendando a mis clientes hace meses preparar un plan de contingencia antes de que esta situación llegue a producirse, y ello implica el cambio de proveedores estadounidenses por europeos, e incluso la supresión de algunos tratamientos llegado el caso. Pero para aquellas empresas que quieran mantener estos proveedores (y para los propios proveedores), se avecina una época de mucha tarea burocrática, horas y horas de esfuerzo y elaboración de documentación. Y del otro lado, las autoridades de control podrían llegar a verse saturadas por peticiones de autorizaciones de transferencias que requerirán de mucho tiempo y medios materiales y humanos para atenderlas debidamente.

Por ahora, así está el patio. Yo no soy demasiado optimista respecto de cómo van a desarrollarse en los próximos días los acontecimientos. Parece que se masca la tragedia…

Si os interesa, os dejo algo más de literatura y opiniones al respecto…

Raúl García
Raúl García
• Delegado de Protección de Datos (DPO)
• Consultor de Seguridad TI en Indra
• Implantador SGSI (ISO 27001)
WhatsApp ¿Hablamos?