"Es difícil un estándar con EE.UU. porque la concepción de la protección de datos es radicalmente distinta"
El RGPD europeo y el Cloud Act estadounidense son como el agua y el aceite en cuanto a su idea de la protección de datos personales. Desde Écija, los abogados Elisabeth Viñes y Javier Arnaiz, alertan sobre las consecuencias de este conflicto normativo para las empresas europeas.
El año 2018 fue uno que marcó la protección de datos personales. Por aquel entonces, en Europa nacía el Reglamento General de Protección de Datos (RGPD). Al otro lado del charco, en Estados Unidos, se firmaba el Cloud Act que, a diferencia de lo que podría insinuar su nombre, no afecta específicamente a los proveedores de la nube sino que al uso general de los datos en el extranjero. Mientras que la primera se considera una de las normativas más estrictas en cuanto a la protección de los datos personales, la segunda permite a las autoridades estadounidenses acceder a los datos que tienen las empresas americanas sobre sus clientes. Donde sea que éstas se ubiquen. ¿Qué pasa, entonces, con Google, Amazon y el resto de las compañías estadounidenses que operan en territorio europeo?
Esta es la advertencia que hace el equipo de Écija Abogados junto a la Asociación de Proveedores Españoles de Cloud y Data Center (Apecdata), que apuntan a que la contratación de un proveedor de nube estadounidense podría llevar a eventuales multas por transgredir el RGPD.
"Estamos hablando de un porcentaje muy elevado de datos de ciudadanos europeos que pueden ser accedidos por Estados Unidos"
Javier Arnaiz, manager del equipo de Privacidad de Écija
“La lógica que sigue el reglamento es que, mientras los datos personales estén en Europa, sean tratados por empresas europeas y estén dentro de este territorio, no hay problema”, comenta la abogada senior del área de Privacidad de Écija, Elisabet Viñes. Pero el RGPD establece que si los datos deben salir de Europa, los países externos deberán asegurar que se cumplan las mismas garantías de protección -algo que no pasa con Estados Unidos- y, de no ser así, aplican sanciones.
Esto es un gran problema para Europa, explica Javier Arnaiz, manager del equipo de Privacidad de Écija, ya que “si no es el 100%, el 95% de las aplicaciones o bien está enlazada en la nube o tiene redundancia en la nube. A lo mejor mis datos están en Madrid, pero por motivos de seguridad los tengo alojados con un tercero. Estos terceros en su mayor parte son proveedores americanos. Entonces estamos hablando de un porcentaje muy elevado de datos de ciudadanos europeos que pueden ser accedidos por Estados Unidos”.
¿Qué pueden hacer las empresas europeas?
Arnaiz comenta que para poder realizar una transferencia internacional de datos a países fuera del espacio europeo, las empresas de la UE debían regirse por las cláusulas contractuales tipo (CCS por sus siglas en inglés), que son contratos aprobados por la Comisión Europea. Sin embargo, la sentencia de la Justicia Europea en el caso Schrems II en 2020 invalidó el Escudo de Privacidad UE-EE.UU. como mecanismo de transferencia de datos personales a Estados Unidos.
“Al final las empresas lo que tienen que hacer es asegurarse, ya bien sea a través del contrato o a través de garantías adicionales -que pueden ser contractuales, legales, organizativas o medidas de seguridad técnicas como tal-, que se garantice ese nivel de protección equivalente. Entonces, al final siempre es un tema de autogestión, autoevaluación. Es cierto que al día de hoy es complicado, teniendo en cuenta esta normativa en Estados Unidos, garantizar al 100% que puedas conseguir ese nivel de protección equivalente al de Europa”, agrega Viñes.
Una forma de hacerlo, explica Arnaiz, es a través del cifrado de los datos. “Si yo la información que tengo en mis servidores la cifro y esa clave de cifrado la guardo yo directamente en un sitio al que no pueda acceder el proveedor americano, por mucho que haya una petición de información, no se puede acceder. Si yo mantengo la llave de cifrado es imposible, o prácticamente imposible, y ahí sí que se daría cumplimiento a esa garantía adicional”.
"Al día de hoy es complicado, teniendo en cuenta esta normativa en Estados Unidos, garantizar al 100% que puedas conseguir ese nivel de protección equivalente al de Europa"
Elisabeth Viñes, abogada senior del equipo de Privacidad de Écija
Un reglamento de protección de datos global, ¿una utopía?
El RGPD no sólo entra en conflicto con la normativa estadounidense. “En el caso de China y Rusia tienen medidas de vigilancia similares. Cuando se tratan datos de sus propios ciudadanos, lo que te requieren es que haya una copia de esos datos en sus propios territorios. Algunos países asiáticos y de inspiración soviética, también tienen regulaciones similares, que afectan al tema de localización de la información”, señala Arnaiz.
Sin embargo, la idea de desarrollar un reglamento de protección de datos a nivel mundial parece ser una utopía. “Es complicado, te diría imposible.”, dice. Existen estándares específicos y convenios de colaboración, que es lo que se ha intentado dos veces entre Estados Unidos y Europa con los Escudos de Privacidad. No obstante, éstos han sido tumbados por la Justicia europea. La semana pasada, el presidente estadounidense, Joe Biden, firmó una orden ejecutiva para implementar un nuevo marco de transferencia de datos entre ambos bloques, que deberá pasar nuevamente por el visto bueno del Tribunal de Justicia de la UE.
“Es difícil que haya un estándar o convenios entre Europa o Estados Unidos porque la forma de concebir la protección de datos personales es radicalmente distinta. Ahora se está hablando de un nuevo escudo de privacidad, pero de fondo el problema siempre va a existir, que es la concepción radicalmente distinta que tenemos de la protección de los datos personales, dónde ponemos el límite”, sostiene Viñes.
