Esa sanción a Meta la pagamos todos
El 22 de mayo la DPC irlandesa publicó (al dictado del EDPB) su sanción a Meta.
Ya se han tratado suficientemente las sanciones, hoy me interesan más las repercusiones de la resolución para todas las organizaciones en materia de transferencias internacionales de datos.
Desde el punto de vista técnico, no hay nada nuevo. Sabíamos lo que venía.
Simplemente el EDPB confirma de forma práctica (y sonada), con 1.200 millones de sanción, su inflexible e impracticable planteamiento en materia de transferencias internacionales de datos.
Este post resume dónde estamos hoy, y cómo queda la usabilidad de cada mecanismo de transferencia tras tres tristes años de especulaciones.
Indice
- Quédense con esto: las consecuencias prácticas de la sanción
- “Posibilidades”
- Cláusulas contractuales tipo (SCCs)
- “Salvaguardias adicionales”
- “Cifrado duro E2E”
- “Risk Based Approach”
- “Excepciones o derogaciones del art. 49 RGPD»
- En concreto, el “consentimiento explícito” del 49. a) RGPD
- “Normas corporativas vinculantes”
- “Declaraciones de adecuación de la Comisión pre-RGPD”
- “Declaraciones de adecuación post RGPD«
- Nuevo Privacy Shield
- The bright side of life
- Primero: La EO 14086 de Biden
- Segundo: El TJUE
Quédense con esto: las consecuencias prácticas de la sanción
- A ojos del EDPB, todas las organizaciones que permitan el acceso a sus datos personales desde fuera del Espacio Económico Europeo (“EEE”) (excepción hecha de los estados declarados adecuados) de modo que quien acceda (el “Importador”) pueda “leer” dichos datos, está incumpliendo.
No olvides que transferencia internacional es no sólo la “transmisión de” datos, como el “acceso a” tus datos desde fuera del EEE.
También cuentan como transferencias internacionales los accesos de terceras empresas incluidas en la cadena de subcontratación de tus proveedores… siempre que accedan a tus datos desde fuera del EEE. (Por esta razón, en la práctica, nadie investiga con mucho ahínco más allá del primer nivel…).
- Como veremos a continuación, ninguno de los mecanismos de transferencia previstos te puede librar hoy por hoy de una sanción…
… si te denuncian.
- Necesitas una estrategia: si te denuncian, recibirás un requerimiento de información de la AEPD y diez efímeros días hábiles para contestarlo.
Por eso y bueno, por accountability, tienes que tener una estrategia o al menos una narrativa.
Tal y como están las cosas, tu narrativa debe dirigirse, no a cumplir los requisitos planteados por las Recommendations 1/2020 o la sanción a Meta del lunes (como vamos a ver, no puedes). El objetivo será convencer, no a la autoridad de cumplimiento competente, sino el tribunal ante el que vas a recurrir la sanción.
Meta he entendido bien esta parte: su alegación “por qué yo, sí todos hacen lo mismo” es sólida.
“Posibilidades”
Examinemos, una a una las opciones sobeteadas durante tres años y lo más o menos abrasadas que ha quedado cada una después del Dracarys de la DPC irlandesa (repetimos, la DPC ha sido sólo la boca por la que ha hablado el EDPB).
Cláusulas contractuales tipo (SCCs)
Ni las antiguas Cláusulas contractuales tipo (SCCs) (en su añeja versión de 2010) ni en la nueva versión (2021) «compensan por sí solas las deficiencias (en materia de protección de datos) de la legislación estadounidense«.
Este calvo discrepa. Porque “todos los cerdos son iguales, pero unos son más iguales que otros” (Orwell).
“Salvaguardias adicionales”
Ninguna «salvaguardia o medida adicional» puede satisfacer a las autoridades de cumplimiento de la UE cuando se trata de transferencias estadounidenses.
La DPC examinó la TIA, SCCs y medidas de Meta (que eran, muy completas y actualizadas) y concluyó que no proporcionaban una «protección equivalente» a los datos transferidos a la UE.
Estas medidas no son suficientes: «En última instancia, si el Gobierno de EE.UU. hace una petición que entra en el ámbito de la Sección 702 FISA, Meta US está obligada a revelar los datos personales de sus usuarios«.
“Cifrado duro E2E”
Se reconfirma (lo que hemos dado en llamar “interpretación absolutista del Capítulo V RGPD”) sólo el cifrado E2E conservando la clave fuera del alcance del Importador sirve como salvaguardia adicional a las SCCs: es decir, sólo puedes utilizar SCCS con tranquilidad cuando tu importador no pueda leer los datos exportados.
Este calvo opina que vale, que bueno, pero es que en ese caso es hasta discutible que exista transferencia internacional.
“Risk Based Approach”
El “risk based approach”: El EDPB: los exportadores deben «garantizar» una protección esencialmente equivalente para los datos transferidos «compensando» cualquier falta de protección de datos en el país receptor (citando el considerando 108 del RGPD). Meta había señalado que sus medidas «abordaban» y «mitigaban» estos riesgos, lo que el EDPB rechazó de plano.
La virtualidad del risk based approach se limita por el EDPB a los supuestos en los que la normativa problemática existe, pero en el caso concreto, no está claro que aplique, como se explicaba por aquí.
“Excepciones o derogaciones del art. 49 RGPD»
Las excepciones del art 49 RGPD.- El Comité de Protección de Datos reconfirmó que, aunque es posible acogerse a excepciones para permitir las transferencias de datos, éstas no deben utilizarse para transferencias recurrentes de datos y deben respetar la «esencia» del derecho a la protección de datos (citando el artículo 52.1 de la Carta de los Derechos Fundamentales de la UE).
La DPC establece que, dado que no existen vías de tutela efectiva para los ciudadanos de la UE sometidos a vigilancia en EE.UU. (como exige el artículo 47 de la Carta), las transferencias de la UE a EE.UU. -incluso cuando se realizan en virtud de excepciones- no respetarían la «esencia» del derecho a la protección de datos y, por tanto, no podrían invocarse.
Este calvo opina que por aquí puede saltar la banca en el futuro. Ver más abajo: “always look at the bright side of life”.
En concreto, el “consentimiento explícito” del 49. a) RGPD
La DPC recuerda que el consentimiento es una posiblidad, pero sólo si se informa a los titulares de los datos:
- de que los datos no estarán sujetos a una protección equivalente a la que ofrecen los artículos 7 y 8 de la Carta,
- de que las leyes en el Estado del importador comprometen la esencia de los derechos del artículo 47 de la Carta con respecto a esos datos, y
- de los posibles riesgos de la transferencia propuesta al interesado.
Aunque no han sido tratadas por la famosa resolución, por no dejar títere con cabeza dos palabras más sobre:
“Normas corporativas vinculantes”
No han sido afectadas por este caso, porque no se han examinado, pero no están ni mucho menos libres de sospecha. Ver aquí.
“Declaraciones de adecuación de la Comisión pre-RGPD”
Es que me da la risa: examinadas a la luz del RGPD son un chiste: apenas ningún estado conseguiría hoy lo que consiguió ayer. Si no, no hay más que echar un ojo a la normativa interna en protección de datos, sin olvidarnos de la de vigilancia interna en Argentina o Israel.
“Declaraciones de adecuación post RGPD«
Las últimas publicadas (UK, Japón, Corea del Sur) están sujetas a tales limitaciones que ojo dónde pisas. Y es que efectivamente, pocos, muy pocos se las han leído.
Nuevo Privacy Shield
Arreglará las cosas, pero sólo para proveedores USA certificados, y en rigor sólo a aquellos que (ha-ha) no cuenten con subcontratistas de fuera de los USA o el EEE (como hemos explicado antes).
Muy pocos cumplen esto pero ¡hey! Algo es mejor que nada.
Cuando se apruebe el nuevo marco a la vuelta de verano, el problema quedará reducido a “tan sólo” el resto del mundo.
The bright side of life
Los Monty Python nos enseñaron que no hay nada como que te crucifiquen para apreciar cualquier rayo de luz, por tenue que este sea, y celebrarlo silbando.
Así que, para terminar con mejor sabor de boca, dos rayos de esperanza:
Primero: La EO 14086 de Biden
La Executive Order 14086 de Biden puede mejorar la situación cuando entre en vigor. O también puede que no.
Veremos.
Segundo: El TJUE
Maese Thomas von Danwitz, el magistrado ponente en las sentencias Schrems y SchremsII dijo, desde el minuto 1 después de la publicación de la anulación del Privacy Shield, que el EDPB se había pasado dos pueblos y tres gasolineras al interpretar la sentencia y el RGPD.
Esta discrepancia entre el TJUE y el EDPB es muy esperanzadora, y una (hay más) de las grandes esperanzas blancas para resolver el lío de las transferencias internacionales de datos, en especial para grupos multinacionales de empresas.
Siempre, claro que no la hayan liado con esto otro.
Vean el trocito bueno del vídeo aquí:
Feliz (?) quinto aniversario del RGPD para todos.
Jorge García Herrero
Abogado y Delegado de Protección de Datos