Privacy Shield, la pretendida norma de protección de datos equivalente a RGPD, ha sido anulada por el Tribunal de Justicia de La Unión Europea este Jueves 16 de Julio del 2020.
Llevamos 4 años clamando en el desierto, tan solo acompañados por una decena de abogados y especialista en el tema. Cumplir con RGPD, mientras otras aplicaciones USA tan solo tenían que declarar su cumplimiento Privacy Shield, una palabra mágica que les libraba de todo, los situaba sobre el bien y el mal, ha supuesto en todo momento una competencia desleal.
La justicia da la razón a todas aquellas empresas de Internet y de la Nube que llevaban años esperando la anulación de Privacy Shield.
Son muy buenas noticias para todas aquellas aplicaciones y servicios en la Nube que nunca se financiaron con los datos de los usuarios.
Con anterioridad, hemos escrito sobre esto en este Blog:
- ¿Están seguros los datos de mi empresa con Privacy Shield?
- Europa no se fía del Cloud en Estados Unidos. Proyecto Gaia-X.
¿Qué diferencias han existido entre Privacy Shield y RGPD?
Veamos como RGPD (Reglamento General de protección de Datos) es una cosa y Privacy Shield es otra muy diferente.
Privacy Shield es un entorno, que no un reglamento de protección de datos de las empresas de la Nube en los Estados Unidos. La inmensa mayoría de las aplicaciones más populares, que son de empresas residentes en USA, se atienen a las normas de privacidad y protección de datos de Privacy Shield.
Que no nos confundan, en muchas ocasiones vemos en sus webs referencias a RGPD pero se trata de marketing porque el RGPD solo se aplica a aquellas empresas que residen o almacenan datos en Europa. Existen en muchos países de América Latina normas que si son compatibles con RGPD.
Privacy Shield es autoregulado mientras que RGPD es ley.
Pues esta es una de sus características más llamativas.
Las compañías redactan sus normas de protección de datos y se adhieren a un simple listado de empresas que dicen cumplir. Comenzamos a pensar que esto puede ser una tomadura de pelo sin adjetivos para calificarla.
Voy a autoregularme en cuanto a las normas de tráfico. Ahora me monto en el coche, cuando vea una señal de limitación a 80 voy a acelarar hasta 180. En mi autoregulación, que puedo redactar sin problemas y llevarla conmigo, dice que puedo exceder en 100Km/h lo que marquen las señales.
Eso es autoregulación y metafóricamente así funciona Privacy Shield.
Con Privacy Shield. No se firman contratos de protección de Datos
Mientras que por ley, con RGPD hay que firmar un contrato de Tratamiento de Datos por parte de Terceros, con Privacy Shield no hay que hacer absolutamente nada, te encomiendas a la voluntad y buen hacer de un almacenamiento que ha declarado su “buen hacer”. Dogma de fe.
Con RGPD el incumplimiento está regulado y conlleva fuertes sanciones.
Esto es consecuencia de que hay leyes reguladoras de RGPD en todos los países de la Unión Europea. Con Privacy Shield solo cabe esperar que se autoinculpen si han comerciado con los datos de sus usuarios.
En RGPD. La cuantía de las sanciones por una falta grave puede alcanzar el 2 % de la facturación o hasta 10 millones de euros.
Las infracciones muy graves son las que violan derechos y garantías ciudadanas. Esto está considerado en RGPD como consecuencia de una mala praxis en el tratamiento de datos. Aquí entran los que actualmente usan servicios Privacy Shield, pues se envían datos a terceros países (USA). Habida cuenta de que se consideran infracciones muy graves y que desafían los principios de la legislación, las sanciones pueden alcanzar el 4 % de la facturación o 20 millones de euros según el caso.
Con RGPD hay que declarar los lugares de almacenamiento de los datos. Con Privacy Shield no.
Los proveedores de aplicaciones o servicios regulados por RGPD están obligados a declarar los lugares de almacenamiento de los datos. Normalmente en la web del proveedor hay una página dónde se especifican los servicios de almacenamiento y su localización geográfica.
Documento de seguridad. Cifrado de datos en tránsito y en reposo.
Recientemente muchos servicios USA han incorporado el cifrado. Algo que está contemplado en RGPD desde siempre. Para esas aplicaciones USA, ha sido una cuestión demandada por sus clientes, para las empresas europeas una obligación.
En cualquier caso, RGPD también obliga a tener un documento de seguridad del sistema dónde se explican las medidas que toma la empresa.
Registro de seguridad
El RGPD incluye en su articulado la necesidad de mantener un registro de seguridad del sistema, han de anotarse aquellas acciones o incidencias relativas al acceso a datos o vulneraciones de seguridad.
Privacy Shield nunca fue equivalente a RGPD
Observando las diferencias descritas anteriormente es evidente que las normas nunca fueron equivalentes. Se han visto casos que en RGPD hubiesen tenido grandes sanciones.
¿Cumplimos en Dataprius con cada uno de los apartados RGPD?
Pues aquí están punto por punto los requerimientos RGPD:
- Firma de contratos.
- Documento de Seguridad
- Declarar lugares de almacenamiento de los datos.
- Registro de seguridad. La versión 7.4 lo pone incluso a la vista de los usuarios.
- Localización de la Empresa. Al pie de todas nuestras páginas. Dataprius
- Recomendado y obligatorio para algunas empresas: Backups de lo almacenado en otra localización.
- Recomendado. Almacenamiento redundante, por supuesto RGPD.
Dropbox y Drive. Dos aplicaciones populares que se quedan fuera de juego.
Estos dos sistemas de almacenamiento realizan transferencias internacionales de datos hacia territorios de los Estados Unidos.
Dichas transferencias se amparaban en Privacy Shield que ha quedado anulado.
De una forma muy sencilla, en 2016 cuando Privacy Shield tenía validez, esto se explicaba en la web de Ateneu: Alternativas a DropBox y Google Drive (Privacy Shield)
REFERENCIAS:
- La justicia europea anula el ‘Privacy Shield’: los datos personales europeos ya no podrán transferirse a servidores de los EE.UU
- La TJUE invalida el ‘Privacy Shield’, el acuerdo de transferencia de datos entre UE y EEUU
- La justicia europea invalida un acuerdo clave para transferir datos personales entre Europa y EE.UU.
COMUNICADO QUE HEMOS ENVIADO A NUESTROS CLIENTES EN RELACIÓN CON LA SENTENCIA DEL TJUE DEL 16-JULIO-2020
El Tribunal de Justicia de la Unión Europea declara inválido el Escudo de Privacidad para la realización de transferencias internacionales de datos a EEUU: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales/comunicado-privacy-shield.
El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) ha publicado una sentencia en la que anula la Decisión 2016/1250 de la Comisión Europea que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU.
Hasta ahora, con el esquema del Escudo de Privacidad, se permitía la transferencia de datos personales a aquellas empresas estadounidenses que estuvieran acogidas al mismo por considerar que garantizaban un nivel de protección adecuado al exigido en el territorio de la Unión Europea. Con la invalidación del Escudo de Privacidad, se marca un nuevo punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU, al dejar de ser considerado un país que ofrece un nivel de protección de los datos personales adecuado.
El TJUE establece la posibilidad de realizar dicha transferencia internacional recurriendo a la firma, entre el exportador (Responsable o Encargado del tratamiento) e importador de dichos datos personales, de las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea en 2010: Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que el Tribunal sigue declarando válidas, para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de la UE.
El TJUE subraya la necesidad de garantizar que mantengan, en la práctica, un nivel de protección que sea esencialmente equivalente al garantizado por el Reglamento General de Protección de Datos. La evaluación de si los países a los que se envían los datos ofrecen una protección adecuada es principalmente responsabilidad del exportador y del importador de datos, al considerar la posibilidad de recurrir a las Cláusulas Contractuales Tipo. Al realizar dicha evaluación previa, el exportador (si es necesario, con la asistencia del importador) tendrá en cuenta el contenido de las Cláusulas Contractuales Tipo, las circunstancias específicas de la transferencia, así como el régimen legal aplicable en el país del importador.
Si el resultado de esta evaluación es que el país del importador no proporciona un nivel de protección esencialmente equivalente, el exportador puede tener que considerar la implementación de medidas adicionales a las incluidas en las Cláusulas Contractuales Tipo. El Comité Europeo de Protección de Datos está estudiando en qué consisten estas medidas adicionales.
La sentencia del TJUE también recuerda la importancia para el exportador y el importador de cumplir con las obligaciones incluidas en las Cláusulas Contractuales Tipo, en particular, las obligaciones de información en relación con el cambio de legislación en el país del importador. Cuando esas obligaciones contractuales no se cumplen o no se pueden cumplir, el exportador está obligado por las Cláusulas Contractuales Tipo a suspender la transferencia o notificar a su autoridad de control competente si tiene la intención de continuar transfiriendo datos a fin de obtener la autorización de la AEPD.
Ante la dificultad por la actual legislación estadounidense de cumplimiento de las obligaciones incluidas en las cláusulas contractuales tipo y mientras no se llegue a un nuevo acuerdo entre la Unión Europea y EEUU, desde Aidcon Consulting recomendamos la interrupción de la transferencia internacional de datos a EEUU, contratando proveedores que se encuentren ubicados en espacio económico europeo u otros países que ofrezcan un nivel de protección adecuado y similar al del territorio europeo: (Liechtenstein, Islandia, Noruega, Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel y Nueva Zelanda).
En resumen, el privacy shield es y ha sido un timo.
Peor, una vez anulado se basa en “Clausulas Contractuales” es decir que está obligados a muy poquita cosa.
Gracias por comentar.
Aún sigo viendo sitios que hablan y defienden lo del privacy shield. O están desactualizados o aún siguen defendiendo el asunto.
El nuevo intento de acuerdo de protección de datos con Estados Unidos que se está negociando parece que lo cuadra. Ya ha dicho la Unión que nanai. Que estados unidos no podrá adherirse a los países que cumplan Rgpd.