"La desconfianza es la madre de la seguridad". Aristófanes
Desde que hace unos años entraran en vigor tanto el Reglamento General de Protección de Datos (RGPD) y el Reglamento ePrivacy, la transferencia de datos entre Europa y Estados Unidos está siendo un verdadero quebradero de cabeza para las empresas, como bien comentamos en este post cuando hablamos de Google Analytics 4. ¿En qué situación nos encontramos en estos momentos y qué soluciones hay encima de la mesa? Para poder responder a esta pregunta, contamos con Eva Estévez Lorenzo, abogada en Pridatect, especializada en IP Privacy, derecho de nuevas tecnologías, privacidad y seguridad de la información.
La llegada del RGPD y ePrivacy han supuesto un reto para todas las empresas, aunque en realidad todo lo que tiene que ver con el ámbito normativo del derecho siempre es complejo. Para simplificarlo un poco, lo que ambos reglamentos buscan es homogeneizar y unificar la legislación a nivel europeo para que todos los países miembros puedan regular y proteger la privacidad e integridad de las personas físicas. Así:
- El RGPD es una norma muy general que busca que las empresas se adecúen a la normativa en protección de datos y que protejan los datos personales de los ciudadanos europeos y de los datos que tratan.
- El ePrivacy es una ley un poco más especial la cual busca regular determinados puntos que el RGPD hace de forma muy genérica, como por ejemplo el control de las cookies a nivel analítico o el refuerzo del consentimiento.
Como se puede ver, con ambas normativas lo que se busca es, por un lado, regular cómo se recogen los datos y, por otro, cómo las empresas recaban toda esa información. El objetivo final es proteger la libertad de los consumidores, los cuáles comparten una gran cantidad de información sin darse cuenta y, al final, esa cesión de datos es la moneda de cambio para poder hacer uso de unas aplicaciones de forma aparentemente gratuita. Por lo tanto, lo que dice el legislador es que ya que las empresas tienen que manejar una gran cantidad de datos, es necesario protegerlos.
Transferencia de datos entre EEUU y Europa
A diferencia que en Europa, el derecho norteamericano es muy invasivo a nivel de privacidad ya que cuentan con unas órdenes ejecutivas que da a la Agencia de Seguridad Nacional (NSA) total acceso a los datos personales que manejan sus empresas. Esto quiere decir que, aunque se trabaje con la filial europea de una empresa, si la matriz está en Estados Unidos, estos datos pueden ser pedidos en cualquier momento por el NSA. Obviamente, esta forma de proceder choca directamente con todo lo recogido por el RGPD y por eso desde Europa se está intentando que toda la información personal que se maneja de los ciudadanos europeos esté totalmente protegida.
Para intentar hacer de estas transferencias algo legal entre ambas potencias, tanto en el 2000 como en 2016 respectivamente se aprobaron los denominados Privacy Shield, unos acuerdos informales para hacer que esta transferencia de datos fuera segura. Lamentablemente, ambos acuerdos fueron derogados en su momento porque no cumplían los requisitos necesarios. Esto significa que actualmente, y a nivel legal, está prohibido realizar transferencias internacionales de datos con empresas de Estados Unidos. Pero esto es en la teoría, ya que en la práctica es realmente complejo no poder realizar esta transferencia ya que muchas de las empresas que utilizamos hoy como Amazon, Google, Azure, su matriz es americana. Entonces, ¿cómo pueden proceder las compañías para seguir trabajando con estas empresas de sus datos?
Antes que nada, lo primero que tiene que hacer es realizar un plan estratégico para entender qué es lo que quiere la compañía y sobre todo qué tipo de información va a tratar. Esto es muy importante porque al final siempre hay un conflicto en definir qué son datos personales a nivel legal con la parte más técnica de seguridad de la información. Con esta parte bien definida, los siguientes pasos a seguir son:
- Bajo el amparo de la ley, proponer la posibilidad de trabajar con un proveedor europeo afín. Por ejemplo, en el caso de la prohibición de Google Analytics en algunos países como Francia y Austria, la alternativa es usar herramientas como Piwik Pro o Matomo.
- Si tras analizar todas los aspectos, el proveedor europeo se considera que realmente no cumple las necesidades de la empresa, entonces se puede encontrar algún tipo de proveedor americano con Data Server en Europa, y que cumpla con lo que se rellene en un documento que evalúa el impacto de la transferencia internacional denominado Transfer Impact Assessment (T.I.A). Este formulario es una solución de compromiso por si ocurriera algo ya que la ley muchas veces no está actualizada a nivel práctico porque la tecnología avanza a un ritmo tan vertiginoso, que es imposible que alcance ese ritmo.
Como se puede ver, al final es importante tener una ponderación, pero es cierto que esta solución es un poco injusta para las empresas, ya que no existe una solución jurídica que realmente sea aplicable a la práctica. Es lo que justamente se está viviendo con el caso de la prohibición de Google Analytics. Al final todo este tema es muy complejo porque aunque encontremos herramientas alternativas en empresas europeas, la realidad es que a nivel práctico las empresas de márketing o de posicionamiento necesitan este tipo de herramientas para su día a día, lo que a día con la legislación actual, puede ser un riesgo.
Si quieres saber más sobre este tema, no te pierdas la conversación de Eva y Eduardo a continuación:
 |
 |
 |