Recommendations 1/2020 contadas con 3 cuentos

 

 

En 2001, Odisea del Espacio, HAL 9000, la inteligencia artificial que gobierna la nave Discovery se vuelve loca y mata a toda la tripulación menos al protagonista, que consigue desconectarle muy poco a poco en uno de los asesinatos más recordados de la historia del cine.

«Daisy, Daisy I am crazy».

Al bueno de HAL le habían dado directrices contradictorias (se le prohíbe revelar la verdadera finalidad de la misión espacial al protagonista, y al mismo tiempo tiene que llevarle sano y salvo a un encuentro alienígena de perspectiva digamos, incierta) y eso le provoca una especie de psicosis, que le desestabiliza y le deja toloco.

Las Recommendations 1/2020 del EDPB son otro buen ejemplo de lo que pasa cuando una “solución” llamada a arreglar un grave problema práctico (el de las transferencias internacionales de datos post-Schrems II), es el resultado del choque de placas tectónicas que se mueven en trayectorias incompatibles.

En otras palabras, un desastre.

 

Follón institucional

• Recordemos que la Comisión Europea, por dos veces, había declarado estado adecuado a los Estados Unidos de Norteamérica a través de los instrumentos del Tratado Safe Harbour y el Privacy Shield.
• El TJUE anuló los dos, afeando el criterio de la Comisión y dejando con el trasero al aire a decenas de miles de operadores en Europa y USA, al no plantear una moratoria. El EDPB entendía que las derogaciones del art 49 RGPD serían suficientes por sí solas.
• El EDPB había establecido hasta la saciedad (y lo ha seguido haciendo después) que las derogaciones del 49 deben ser interpretadas de forma restrictiva.

 

Patadas bajo la mesa en el EDPB

Pero además de esta reyerta familiar aún no resuelta, tenemos que, en el seno del propio EDPB, hay distintas sensibilidades en relación con lo que se debe exigir a una trasferencia internacional de datos que sea conforme al Capítulo V del Reglamento General de Protección de Datos.

Tenemos la línea dura capitaneada por las autoridades de las federaciones alemanas, que preconizan la interpretación más estricta, y en el otro polo, la autoridad irlandesa, con la posición más laxa. Por obvias razones.

Y con todo el mundo metiendo cuchara (autoridades de distintos palos, Comisión Europea, etc) se han parido dos “Recommendations”. La 1/2020 (la de las TIAs) y la 2/2020 (la de las garantías esenciales europeas).

Muy sustancialmente, las Recommendations 1/2020 imponen a cualquier exportador europeo de datos un doble análisis jurídico de la normativa del estado importador:

1. La conformidad o adecuación a las EEGs (Essential European Guarantees) del ordenamiento jurídico del estado importador.
2. Asegurarse de que “no hay ninguna razón” que lleve a pensar al exportador que la normativa de vigilancia de dicho estado, ampara accesos a datos personales de personas residentes en la UE, que resultan incompatibles, o ilícitas a la luz del Reglamento General de Protección de Datos.

Y el principal problema es que la respuesta a la primera pregunta es un todo o nada, blanco o negro.

 

 

Si tuviera que explicarlo con un cuento, lo haría con el de la princesa y el guisante, si hay guisante, no importa el número de colchones que pongas en la cama. La princesa de Bruselas va a seguir haciendo su mohín de descontento.

Espoiler: en USA tenemos un guisante así de gordo.

Y la respuesta a la segunda pregunta es una probabilidad de riesgo, una variada gama de grises de acuerdo con el “risk based approach”.
Explicado con el cuento de los tres cerditos, cada cerdo debe valorar el riesgo de ser zampado por el lobo de turno, y determinar el material de la casita con la que entenderá que podrá mitigar razonablemente ese riesgo.

El acierto o no en la elección de la calidad de construcción y materiales decidirá su responsabilidad y su porcina supervivencia.

 

Guisantes y otras variedades hortofrutícolas

Si sometemos el ordenamiento jurídico de los EEUU a una comparativa rigurosa con las Essential European Guarantees, cosa que hizo el TJUE en Schrems II, la conclusión obvia es que no. Que esas garantías no se cumplen (ausencia de autoridad supervisora independiente propiamente dicha, falta de legitimación activa para que el interesado que ha sufrido el acceso ilícito a sus datos obtenga tutela judicial efectiva ante los tribunales estadounidenses).

Y no hay guisante salvable. No está en la mano de ningún importador o exportador del sector privado subsanar esa deficiencia.

Y esa es la razón de la rigidez de las Recommendations 1/2020.
Precisamente por eso, en presencia de guisantes, pequeños o grandes, muchos o pocos, el EDPB concluye que no cabe otra cosa que cifrado de los datos transferidos de modo seguro y escamoteando la clave de cifrado al importador.
Es decir, sólo si el riesgo de acceso es cero, puedes transferir a Corea del Norte o Afganistán si quieres.

Sin embargo, el EDPB se pone la venda con estados con una normativa de vigilancia, vamos a decir, intensita, como Israel (o Reino Unido, para no irnos más lejos) que siguen siendo considerados estados declarados adecuados, sin requerir ningún análisis adicional.

Y todo, aunque puedas montar una filial de El Gigante Verde en cualquiera ellos.

Pam.

 

No hay sólo un lobo y los otros cerdos muerden que no veas

La ruta propuesta por el EDPB es que, en el segundo examen, si “no tenemos ninguna razón para pensar que la normativa del estado importador podría infringir el derecho de privacidad de los titulares de los datos objeto de transferencia”, (o si podemos excluir el riesgo detectado) podremos seguir adelante.

Pero de nuevo, resulta que después, casi (CASI) la única medida que se considera aceptable para admitir esa transferencia en presencia de riesgos es el mismo cifrado total.

Por último, las Recomendaciones 1/2020 insisten en la necesidad de asegurar los datos en tránsito, aunque el resultado de las evaluaciones comentadas haya sido positivo, para evitar que “las autoridades del estado importador” puedan acceder a los datos comunicados (p. ej. las autoridades norteamericanas en ejercicio de las facultades que la Executive Order 12.333 les concede).

Bien, si se mete usted a cerdo promotor debe saber que, quien redactó este documento, pasó por alto un par de cosas:

• Que no sólo las autoridades de EEUU tienen la capacidad de pinchar cables transatlánticos, sino muchas otras (ahí está UK en un caso reconocido en la sentencia “Big Brother Watch” del TEDH). Pero también China, Rusia y, sin ir más lejos, otras potencias europeas.

 

• Que se está exigiendo a los operadores privados que hagan, cada uno de ellos, una complicada tarea de análisis jurídico en la que ha fracasado estrepitosamente la mismísima Comisión Europea dos veces seguidas. Never forget.

 

• Que la Unión Europea está exigiendo a EEUU el cumplimiento de unos estándares de garantías jurídicas, que en muchos casos los propios estados miembros no alcanzan (véase el mencionado caso Big Brother Watch del TEDH y la sentencia Quadrature du Net del TJUE).

 

Entonces ¿Qué hacemos?

Resulta evidente que todo el sector empresarial privado que cuenta con flujos de datos internacionales se ha visto en medio de una reyerta que no era la suya.

Y que se sigue luchando as we speak.

Y esta es la clave: determinar si realmente este lío es el nuestro o es el de alguien más.

Siguiendo con las fábulas, lo que todo exportador sí está capacitado para hacer y debe hacer es valorar y documentar si “hay razones para pensar que la zorra vendrá precisamente a por sus uvas”.

Porque la mayoría de las organizaciones no tienen hoy un mecanismo de transferencia válido para sus flujos internacionales.

Porque un Privacy Shield 3 clarificará el tema de los guisantes. Pocas dudas sobre esto.
Lo que no va a hacer es aligerar las obligaciones que, como buenos cerdos que somos y que practicamos la accountability, nos competen.

No sé si me explico.

 

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos