Si leemos un poco sobre Privacy Shield, la primera impresión que nos llega es que todo está muy bien regulado y que nuestros datos están seguros.
Sin embargo, al investigar un poco más sobre el tema, aunque esta tarea pueda convertirse en un verdadero infierno de aburrimiento, uno empieza a descubrir ciertas lagunas legales e intereses comerciales millonarios dignos de tener en cuenta si buscamos la seguridad de nuestros datos.
Si usamos un almacenamiento en Cloud que guarda los datos en Estados Unidos, la plataforma que presta el servicio estará adherida al Privacy Shield que es el pretendido equivalente a RGPD (Reglamento General de Protección de Datos).
Actualización 20 de Julio de 2020. El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado este jueves el sistema de intercambio de datos del llamado Privacy Shield: En Abc, En El País
RGPD vs Privacy Shield.
Un aspecto a tener muy en cuenta es que cualquier tipo de actividad realizada en una empresa, supone el trato de datos de clientes, proveedores, empleados, etc.
Es por ello que toda empresa, autónomo o profesional que ejerza en Europa, ha de adaptarse a la normativa RGPD y en caso contrario se exponen a sanciones de hasta 20 millones de € o el 4% de la facturación bruta anual (el importe mayor sería el aplicable).
Una de las obligaciones principales de RGPD es la firma del correspondiente contrato de protección de datos a terceros. Además ambas partes deberán tener una copia firmada de éste y es aquí donde aparece la primera incertidumbre.
¿Con Privacy Shield basta con hacer click en una casilla de acepación de términos que nadie lee? ¿Y mi copia del contrato donde está? ¿Alguien alguna vez ha leído todas las cláusulas de ese acuerdo autoregulado por las propias empresas que almacenan y gestionan dichos datos?
Estas son algunas de preguntas que me surgen al empezar a investigar sobre el tema pero esto es sólo el inicio ya que a partir de aquí solo me salen nuevas dudas.
¿No sabías que el Privacy Shield es autoregulado?
Pues esta es una de sus características más llamativa.
Las compañías redactan sus normas de protección de datos y se adhieren al listado de empresas de Privacy Shield. Comenzamos a pensar que esto puede ser una tomadura de pelo sin adjetivos para calificarla.
Voy a autoregularme en cuanto a las normas de tráfico. Ahora me monto en el coche, cuando vea una señal de limitación a 80 voy a acelarar hasta 180. En mi autoregulación que puedo redactar sin problemas y llevarla conmigo, dice que puedo exceder en 100Km/h lo que marquen las señales.
Eso es autoregulación y metafóricamente así funciona Privacy Shield.
Las compañías redactan sus normas de protección de datos y debemos tener fe en el cumplimiento de sus propias normas sin que medien regulaciones de un nivel superior.
Los datos. El petróleo del S.XXI.
Resulta que el comercio transatlántico de datos, mueve unos 260.000 millones $ al año lo cual significa que aunque existan lagunas legales o de seguridad, su interrupción significaría grandes consecuencias tanto para empresas que propocionan servicios cloud a sus clientes como para este comercio y el impacto económico que supondría.
Otra cuestión que me hace desconfiar es que si por mala suerte, tienes un problema de seguridad y trabajas con empresas como Google Drive, Dropbox u otras aheridas al acuerdo Privacy Shield, tendrías que acudir al denominado “defensor del pueblo”.
Esta figura de “defensor del pueblo” es creada y puesta a dedo por el Departamento de Estado de los E.E.U.U. por lo que no puede considerarse independiente ni una garantía ni respaldo a las reclamaciones de los ciudadanos y/o empresas de la Unión Europea.
Otro aspecto interesante en el que detenerse, es que el RGPD exige que se elijan solo colaboradores que ofrezcan las máximas garantías en el tratamiento de sus datos.
Esta parte me hace gracia ya que es una manera muy sutil de decir que si colaboras con empresas externas a la UE y tienes algún problema, ya tienen la excusa perfecta lavarse las manos y no ayudar. En lenguaje coloquial sería un perfecto: ¡ah!, no haber metido tus datos en “…..”, ahora búscate la vida y si puedo, te sanciono también.
En fin, que para que ofrezcan la máxima garantía, han de entregar una copia firmada del contrato de protección de datos y llegado a este punto retorno al inicio del artículo respecto al hacer click en la casilla de aceptar términos y condiciones.
¿Las empresas en Europa estamos obligadas a un sin fin de requisitos y papeleo y a las norte americanas les basta con una casilla en la cual todos hacen click pero nadie lee sus eternas cláusulas?
¡Qué injusto me resulta!
Además, en Europa estamos expuestos a sanciones millonarias si se te escapa un pequeño detalle que mencionaba la ley y no llevaste a cabo. Sin embargo si una empresa estadounidense vende tus datos y tienes problemas, ¿has de acudir al defensor del pueblo?
Mejor dicho será el defensor de su pueblo. El suyo y ninguno más.
Bueno pues concluyo comentando que en mi opinión, ninguno de estos gobiernos que comentamos van a mirar por nosotros ni por nuestras empresas.
Los de E.E.U.U. ganan millones con los datos y eso no va a dejar de ser así, al menos de momento.
En Europa, la normativa es contundente siempre y cuando se actúe dentro de su territorio pero como por mala suerte te pillen en cualquier cosita… ¡A sancionar!.
Es por ello que en conclusión, la mejor opción es que cada uno investigue un poco sobre el asunto y si le interesa que sus datos estén protegidos, busque un proveedor de confianza que le entregue su correspondiente contrato RGPD, que su domicilio se encuentre en la UE y sus servidores también.
En caso contrario recomendaría leer los términos y condiciones de aquella casilla en la que se hace click cuando trabajas con aplicaciones, en la mayoría de los casos estadounidenses.
En caso de ser capaz de leer todo el documento y su normativa, o tener más información sobre el tema le estaría muy agradecida de que comentasen y nos contasen algo al respecto, ya que yo confieso que no pude.
ENLACES SOBRE PRIVACY SHIELD:
- Acuerdo Privacy Shield a la normativa europea de protección de datos
- Privacy Shield Framework
- Guía de la comisión Europea
OTROS ARTICULOS RELACIONADOS:
Muy bueno, este artículo es toda una herejía. El Privacy Shiel es como la Bula Papal (indulgencia) que se pagaba en tiempos de la edad media para estar libre de todo pecado y ascender a los cielos.
Todas las empresas están obligadas al cumplimiento de RGPD, pero cuando usan aplicaciones Privacy Shield ya no hay discusión, esos están libres de todo, a diario vemos que todas esas aplicaciones tratan datos por millones, pero amigo en tu empresa un simple papel te puede acarrear sanciones. Firmas de consentimiento, formularios a tus empleados y clientes,etc. pero si esos datos están el lugares desconocidos, guardados por empresas que se autoregulan no pasa nada. El negocio de los abogados, consultores y el resto de servicios de “Adaptación a RGPD” callan y asienten, es la Bula Papal.
Solo un comentario. ¡Con la cantidad de expertos RGPD que hay!
Pues de los pocos que han tenido los “bemoles” de escribir sobre esto es el despacho de Garrigues, para que todo el mundo vea que de Safe Harbor a Privacy Shield hay poco más que el nombre: https://www.garrigues.com/es_ES/garrigues-digital/el-privacy-shield-bajo-la-lupa-de-la-union-europea
Si es que nadie cumple aquí tampoco con Privacy Shield. Si usas una plataforma adherida a privacy Shield ya se Dropbox, Drive y hasta WhatsApp, hay una transferencia de datos a los Estados Unidos, en tal caso esta transferencia internacional de datos debe ser informada a los interesados (a los titulares de los datos transmitidos: clientes, trabajadores, según el caso).
Con WhatsApp se baten todas las marcas de incumplimiento: https://jorgegarciaherrero.com/no-utilices-whatsapp-profesionalmente/