Para los países de la Unión Europea, encontrar una forma de transferir legalmente datos personales a los EE. UU. Es un problema sin respuestas fáciles.
Se ha hablado mucho, ha habido asesoramiento legal, arreglos técnicos y soluciones a corto plazo, pero ninguno puede abordar el problema subyacente: que las leyes de la UE y los Estados Unidos son fundamentalmente incompatibles.
En este momento, hay poco apetito en los EE. UU. Para gastar dinero y capital político en la reforma de las leyes de vigilancia de EE. UU. Para proteger la privacidad de los ciudadanos no estadounidenses.
Un estudio encargado por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo ha establecido una hoja de ruta sobre cómo se podrían lograr las reformas en el futuro.
Pero por ahora, las empresas tienen dos opciones: realizar costosas evaluaciones de riesgos con la esperanza de demostrar que están haciendo esfuerzos genuinos para cumplir con el Reglamento General de Protección de Datos (GDPR) de Europa, o asegurarse de mantener sus datos dentro de los centros de datos europeos que están libres del alcance extraterritorial de la ley estadounidense.
Muchas empresas medianas están eligiendo la última opción, dijo Max Schrems, el abogado austriaco cuyas quejas contra Facebook llevaron a que el Tribunal de Justicia de la Unión Europea derogara el acuerdo de intercambio de datos UE-EE. UU., Privacy Shield, hace un año.
En el mejor de los casos, es una solución a corto plazo, dijo Schrems en un debate en línea con el abogado de protección de datos Eduardo Ustaran, socio de Hogan Lovells.
Familiarizarse con las leyes de vigilancia del mundo es una tarea casi imposible, dijo Ustaran.
Miles de académicos y activistas han pasado años estudiando las leyes de vigilancia de EE. UU. Y aún tienen que ajustarlas a los requisitos de protección de datos de la UE.
Pero Estados Unidos es solo un país. “¿Qué pasa con el resto del mundo?” él dijo. “¿Qué pasa con los países donde no hablamos su idioma y donde no tenemos académicos analizando la ley?”
En realidad, la mayoría de los países con los que las organizaciones de la UE pueden querer compartir datos tendrán leyes que permitan a los gobiernos acceder a los datos. El punto de partida, dijo Ustaran, es encontrar una forma de proteger mejor los datos cuando se transfieren.
Los grandes proveedores de servicios de tecnología y en la nube están recurriendo a formas legales creativas para proteger la privacidad de los datos cuando están alojados o compartidos fuera de la UE.
La Junta Europea de Protección de Datos (EDPB) publicó recomendaciones en julio de 2020 para advertir a las empresas, por ejemplo, que pueden compartir datos con países con “legislación problemática” si no tienen motivos para creer que se verán afectados por ella en la práctica.
Y la Comisión Europea (CE) publicó cláusulas contractuales estándar (SCC) actualizadas, que dieron mayor seguridad jurídica a las empresas europeas que desean utilizar estos acuerdos contractuales para compartir datos en el extranjero.
“Creo que la EDPB ha sido muy útil al proporcionar un amplio menú de medidas a emprender y los nuevos SCC tienen disposiciones específicas que establecen lo que las organizaciones deben hacer para abordar estos problemas”, dijo Ustaran.
Como resultado, las empresas de tecnología están estableciendo procesos transparentes sobre cómo tratar las solicitudes de los gobiernos para los datos de sus clientes.
Esto a menudo implica poner la solicitud en espera para que un órgano judicial pueda considerar el asunto y brindar tanta información como legalmente pueda a los clientes afectados.
“Veo que esto sucede todo el tiempo: implemente políticas globales internas que se ocupen de cómo reaccionar a las solicitudes de acceso del gobierno”, agregó.
¿Arreglos técnicos o aceite de serpiente?
Para Schrems, las soluciones técnicas no pueden resolver un problema insoluble.
Microsoft o Google, por ejemplo, pueden proporcionar servicios para cifrar datos a medida que pasan de la UE a los EE. UU. Y pueden almacenar los datos en forma cifrada en los servidores de EE. UU.
Pero si el gobierno de los EE. UU. Solicita revisar los datos bajo una orden de FISA, las empresas no tienen otra alternativa que cumplir.
Ustaran dijo que se trata de que las empresas de tecnología hagan un esfuerzo adicional para resistir las solicitudes de datos del gobierno.
“Harán todo lo posible para tratar de renunciar a las obligaciones y desafiar. Así que todo se trata del esfuerzo ”, dijo. “Puede ser posible rechazar una solicitud”.
Schrems argumentó que para la mayoría de las empresas, la solución más fácil, por ahora, será simplemente alojar sus datos en Europa.
Su propia organización de campaña, nyob, tardó solo unos minutos en evaluar su responsabilidad después de la decisión de Schrems II que derribó el Escudo de privacidad.
Nyob mantiene todos sus datos en un centro de datos en Alemania y no utiliza subcontratistas, por lo que no había riesgo de que los datos salieran del país.
Schrems argumentó que para muchas empresas, tendrá sentido desde el punto de vista financiero trasladar sus datos a Europa en lugar de pagar los honorarios de los abogados por una solución que inevitablemente se anulará si el intercambio de datos entre la UE y los EE. UU. una tercera vez.
“Puede pagarle a un bufete de abogados decenas de miles de euros para que elabore papeles que serán triturados la próxima vez que vaya a la corte, o puede invertir el mismo dinero en mover sus sistemas”, dijo.
Para las empresas que probablemente no estén sujetas a solicitudes de datos bajo FISA, las SCC también podrían ser una respuesta.
Por ejemplo, si una empresa hotelera desea enviar detalles de sus clientes a una sucursal en los EE. UU., Entonces un SCC cumpliría con los requisitos de protección de datos de la UE.
Hay ciertas situaciones en las que las CCE y medidas similares pueden aplicarse a sectores industriales particulares en situaciones particulares, dijo Schrems.
“Pero eso está separado de las grandes empresas que son simplemente los principales impulsores o los principales ayudantes de la vigilancia del gobierno de EE. UU., Donde creo que está claro que no tenemos una respuesta al menos en este momento”, agregó.
Ustaran dijo que para las empresas multinacionales, mantener sus datos locales no es una respuesta. Quieren almacenar datos localmente para que los clientes de una parte del mundo puedan acceder a ellos rápidamente, pero también quieren tener los mismos datos disponibles en todo el mundo.
Si bien las empresas de tecnología de EE. UU. Ofrecen alojar los datos de sus clientes en centros de datos europeos, si esto es suficiente para proteger sus datos de acuerdo con los estándares requeridos por GDPR es un punto discutible.
Las empresas de tecnología pueden ir más allá creando estructuras legales que garanticen que sus operaciones en Europa no estén sujetas a las garantías de la FISA de EE. UU. Porque la empresa matriz es una empresa de EE. UU.
“Necesita una barrera de hecho legal en la que simplemente, como empresa estadounidense, pueda decir, lo siento mucho, gobierno de los Estados Unidos, que los datos están en algún lugar de Europa y no puedo alcanzarlos”, dijo Schrems.
Para Ustaran, no se trata de “jugar juegos legales” alojando un servidor en un país u otro, se trata de tomar medidas prácticas para proteger la privacidad.
Lo que está en juego no es si los gobiernos pueden acceder a los datos en su jurisdicción, sino si lo hacen de forma masiva e indiscriminada.
“Todos merecemos estar protegidos de los excesos del estado”, dijo Ustaran.
Pero la forma de lograrlo es multifacética: en parte a través de soluciones legales, en parte a través de la forma en que las organizaciones administran los datos y en parte a través de tecnología innovadora.
Una idea que se está debatiendo, por ejemplo, es encontrar una forma de cifrar los datos y garantizar que la clave de cifrado permanezca en Europa cuando los datos se exporten a otros países.
Si al importador de datos se le quita al menos un paso del titular de la clave de cifrado, eso puede proporcionar una herramienta más defendible para proteger los datos de la atención gubernamental no deseada.
Schrems dijo que aún no ha visto una tecnología que permita a un proveedor de servicios en la nube procesar datos sin tener acceso a la clave de cifrado, a menos que simplemente estén almacenando datos de archivo.
“A largo plazo, necesitamos algún tipo de ‘acuerdo de no espionaje’ entre los países occidentales; asegúrese de que haya un flujo libre de datos sin tener que preocuparse si sus datos van al extranjero”, dijo.
Para Ustaran, almacenar datos localmente no puede ser la respuesta. Después de todo, dijo, las grandes empresas tecnológicas de EE. UU. Tienen operaciones en Europa que las someten al GDPR.
“¿Por qué deberíamos restringir las transferencias a estas organizaciones que ya están sujetas al mismo régimen que estamos tratando de aplicarles contractualmente?” él dijo.
Puede haber formas, a través de contratos o mediante el establecimiento de políticas, para resolver la tensión entre la ley europea de protección de datos y las leyes de otras jurisdicciones que se aplican a las multinacionales.
Schrems dijo que el debate sobre la transferencia de datos le recuerda el debate sobre el cambio climático. “Es como, ya sabes, la realidad es que todos necesitamos un automóvil, y tenemos que conducir y hay petróleo, y así es como funciona el mundo”, dijo. “Y luego está un pequeño Greta Thunberg diciendo, chicos, saben qué, esto no va a funcionar de esa manera para siempre”.