Adecuación operativa: las nuevas garantías necesarias para las exportaciones de datos de la UE
Adecuación operativa: las nuevas garantías necesarias para las exportaciones de datos de la UE
- El 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) anuló el Escudo de Privacidad como marco para realizar transferencias de datos personales desde la Unión Europea (UE) a los EE.UU. Su razonamiento proyecta diversas dudas sobre el futuro de todas las transferencias de datos personales de la UE a jurisdicciones fuera del Espacio Económico Europeo (EEE).
- Las empresas de todo el mundo se preguntan: ¿qué "garantías adicionales" necesitamos implementar para poder seguir operando en Europa?
- Las empresas afectadas deberían centrarse en demostrar la adecuación operativa, tomando medidas técnicas para reducir la exposición de sus datos a la supervisión de cualquier gobierno.
Todas las multinacionales deben demostrar que pueden proteger adecuadamente la privacidad de los datos personales cuando lleven a cabo transferencias a países fuera de la UE y del EEE. El Escudo de Privacidad es utilizado por casi 5.400 empresas estadounidenses.
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválido el Escudo de Privacidad debido a la preocupación existente sobre el potencial por parte del gobierno de los EE.UU. a los datos personales que eran utilizados con fines de seguridad nacional sin que los interesados de la UE tuviesen opciones de compensación.
El TJUE también puso en duda la viabilidad a largo plazo de todos los demás mecanismos -aparte del Escudo de Privacidad- que las empresas utilizan para transferir datos personales de la UE a sus países y que la UE no considera adecuados.
Ante este fallo histórico, están en juego aproximadamente 3 billones de dólares en exportaciones de bienes y servicios de la UE a países fuera del EEE que necesitan datos personales para procesar estas transacciones.
Las cerca de 5.400 empresas estadounidenses que utilizan el Escudo de Privacidad deberán adoptar inmediatamente un mecanismo de transferencia de datos diferente. Los demás mecanismos son los previstos en el RGPD, esto es, las cláusulas contractuales tipo entre los exportadores e importadores de datos, las normas corporativas vinculantes y los códigos de conducta de la industria.
Hasta la fecha, la opción adoptada en su mayoritariamente adoptada en todos los sectores de la industria ha sido las cláusulas contractuales tipo (CCT).
Proveedores certificados por el Escudo de Privacidad
El fallo del TJUE ordena a las 27 autoridades de protección de datos de la UE a la suspensión de las transferencias de datos de la UE incluso cuando existieran CCT, si las leyes y prácticas de inteligencia del país de destino comprometen los acuerdos del CCT. En consecuencia, las compañías deben
- Identificar a todos los proveedores que traten datos personales de la UE en cualquier lugar del mundo fuera del EEE
- Confirmar qué mecanismo de transferencia de datos están utilizando
- Evaluar caso por caso si dichos proveedores deben adoptar "garantías adicionales" para remediar los compromisos específicos del país.
Las grandes compañías o grupos de empresas cuyo número de proveedores se cuenta por cientos podrían llegar a enfrentarse a una situación de alarma respecto de las transferencias de datos personales.
Los proveedores de servicios en la nube con sede en los Estados Unidos pueden enfrentarse a un mayor control por parte de sus clientes corporativos como resultado de la decisión del TJUE, aunque ya están bajo vigilancia sustancial por parte de los reguladores de la UE. Las empresas del sector tecnológico, que tienen más probabilidades de ser objeto de mayores exigencias en materia de protección de datos por parte del gobierno de los Estados Unidos en el contexto de la seguridad nacional, pueden enfrentarse ahora a una nueva oleada de solicitudes de información por parte de sus clientes de la UE.
Si una empresa ya encripta los datos personales de la UE, ¿ha cumplido la exigencia de "Garantías adicionales"?
Probablemente no
Las Autoridades de control en materia de protección de datos personales de los Estados miembros de la UE, en coordinación con el Supervisor Europeo de Protección de Datos, están en proceso de publicar unas directrices para que las empresas se ajusten a la decisión del TJUE. Pero la divergencia de opiniones de las Autoridades, incluso entre las de los distintos “länder” alemanes, indica que el proceso de armonización podría llevar meses. La decisión del TJUE impone a las empresas importantes cargas y responsabilidades para que examinen las distintas implicaciones caso por caso con poca orientación en este momento. Hasta la fecha, no existe una forma fácil para las empresas al objeto de comprobar si sus conclusiones respecto a la actual situación y la vía adoptada para garantizar la seguridad de los datos personales son consistentes con la posición de las 27 Autoridades de la Unión Europea.
Se necesita un enfoque más amplio
En cualquier escenario, es probable que las compañías necesiten un enfoque integral en materia de protección de datos a lo largo del ciclo de vida de sus datos personales en la UE que incorpore estándares en materia de seguridad de las tecnologías de la información, y en materia de gobierno de la privacidad.
¿Por qué las multinacionales de todo el mundo, y no solo de los Estados Unidos, buscan implementar "garantías adicionales"?
- La obtención de información en el marco de servicios de inteligencia es omnipresente
- No hay un acuerdo global de privacidad
- Se necesita una acción global
La obtención de información en el marco de servicios de inteligencia es omnipresente
La mayor parte de países cuenta con un organismo de inteligencia nacional, muchos de ellos con autoridades que no ofrecen suficiente transparencia o mecanismos de reparación judicial para las personas de la UE, como exige el TJUE
No hay un acuerdo global de privacidad
Ninguno de los demás mecanismos aprobados por la UE para la transferencia comercial de datos personales de la UE impide la vigilancia gubernamental, ni siquiera por los propios organismos de inteligencia de la UE.
Se necesita una acción global
Como resultado, todas las compañías que hacen negocios con Europa se enfrentan al riesgo de que las Autoridades de Protección de Datos de la UE ordenen el cese de sus exportaciones de datos, a menos que adopten "garantías adicionales".
¿Qué deberían hacer las compañías afectadas?
El mensaje de Bruselas es claro: las empresas que tienen algún tipo de conexión con la UE -clientes, empleados o instalaciones de la empresa- necesitan un enfoque corporativo de "garantías adicionales" para poder aumentar sus ingresos vinculados con el mercado europeo durante la desaceleración económica mundial.
El enfoque hacia las “garantías adicionales” -lo que PwC denomina "adecuación operativa"- debería ser doble: 1) minimizar, seudonimizar, “tokenizar” y cifrar los datos personales de la UE, tanto los que se encuentren en tránsito, como los meramente almacenados; y 2) aplicar un mecanismo sólido y transparente que garantice la protección de la privacidad frente a peticiones de datos personales de los gobiernos.
Las empresas deberían adoptar las siguientes medidas para prepararse para la “adecuación operativa”:
1. Pasar del Escudo de Privacidad UE-EE.UU. a mecanismos alternativos
Si la empresa se amparaba hasta ahora en el Escudo de Privacidad UE-EE.UU., deberá adoptar a un mecanismo alternativo. Cada empresa debe identificar a los proveedores con acceso a datos de la UE en su cadena de suministro, u otros destinatarios que dependen únicamente del Escudo de Privacidad y asegurar que se comprometan a adoptar mecanismos alternativos.
2. Realizar evaluaciones de impacto de la transferencia de datos (EIPD)
Las empresas deberán hacer un inventario o mapa los supuestos en los que se produce una transferencia de datos personales de la UE que dependan de mecanismos alternativos. Deberán evaluar su posible exposición a eventuales intercepciones de los datos por parte del gobierno, e identificar posibles soluciones.
3. Mejorar los controles de seguridad de los datos de extremo a extremo
Diseñar una estrategia de transferencia de datos transfronteriza que aumente el valor de los datos personales de la UE de manera segura y ética. Adoptar protocolos de minimización de datos, seudonimización, “tokenización” y cifrado para las transferencias de datos personales fuera del EEE de acuerdo con los posibles riesgos identificados en los EIPD.
4. Mejorar el proceso de solicitud de datos del gobierno
Convertir todo proceso ad hoc para responder a las resoluciones judiciales y otras solicitudes gubernamentales de datos en un proceso formalizado con responsables definidos, criterios de denegación legítimos y medidas de minimización de datos. Formar al equipo a la dirección y al equipo correspondiente en el referido proceso.
5. Adoptar un enfoque centrado en los datos del interesado
Es preciso tener en cuenta que la decisión de TJUE es consecuencia de la creciente preocupación por los derechos de los interesados de la UE. A medida que las empresas reevalúan el cumplimiento del RGPD a la luz de estos avances sustanciales, se debe continuar dando prioridad a dichos derechos, así garantizar el uso ético y apropiado de los datos como parte del día a día de las compañías.
