Dicha decisión viene motivada a raíz de una denuncia de un particular austríaco, que estaba en contra de que la información que tenía en la red social Facebook pasara de los servidores de la división de la compañía en Irlanda a los que esta misma compañía tiene en EEUU.
La reclamación presentada argumentaba que, a diferencia de la normativa de la UE sobre protección de datos, la normativa estadounidense no establecía la misma protección ante acciones de vigilancia gubernamentales.
"La UE no está en disposición de luchar contra el liderazgo tecnológico en cloud y almacenamiento de datos de los EEUU"
Esta decisión es consecuencia de una situación que desde diferentes instituciones de la UE se ha venido denunciando en repetidas ocasiones. Debido a la preponderancia de los gigantes tecnológicos norteamericanos, y a la falta de estrategia común desde la UE, se ha perdido el Control y Gobernanza sobre los datos. La UE no está en disposición de luchar contra el liderazgo tecnológico en cloud y almacenamiento de datos de los EEUU. Aunque para intentar cumplir el GDPR estos gigantes tecnológicos han colocado grandes bancos de datos en suelo europeo, la realidad es que al final el flujo de información termina en servidores ubicados en los EEUU.
Ante esta decisión se abre un periodo de incertidumbre que abre tres vías de solución, a muy alto nivel. La primera sería una nueva negociación UE/EEUU para definir un nuevo Acuerdo que sustituya el Privacy Shield. La segunda, consistirá en la adaptación de la normativa de los EEUU con controles más acordes al GDPR y, la última, en cambios en los controles de las organizaciones (privadas y públicas) de la UE para continuar manteniendo las transferencias a EEUU sin incumplir el GDPR.
Desde S2 Grupo no podemos asegurar cuál o cuáles de los tres enfoques será el que triunfe, pero sí consideramos que los dos primeros son de largo recorrido. Por lo tanto, creemos necesario realizar un análisis de los riesgos que esta decisión provoca en las organizaciones,privadas y públicas, para intentar estar preparados.
Son varios los riesgos a los que las organizaciones nos enfrentamos ante esta nueva situación. Por un lado, hay que tener en cuenta a los proveedores de almacenamiento de datos (ubicados en EEUU o clouds que no podemos asegurar dónde almacenan los datos). Normalmente regulamos esta relación a través de contratos de adhesión (cláusulas generales) en las webs de los proveedores. Vemos necesario revisar dichas condiciones y reclamar al proveedor una actualización de las mismas.
Por otro lado, están las cláusulas informativas/consentimiento de los titulares de los datos. Donde antes informábamos, pero no solicitábamos el consentimiento de que los datos podían almacenarse en los EEUU, al considerar que o era un encargo de tratamiento o una transferencia internacional a un país seguro, la nueva situación podría suponer revisar y actualizar dichos consentimientos.
Y, por último, tenemos los Registros de Tratamientos. Donde antes registrábamos “transferencias internacionales a países con un nivel de protección adecuado” ahora debemos actualizar dicho registro.
Ante esta situación, desde S2 Grupo proponemos varias acciones y revisiones que debemos acometer para regularizar la situación después de esta sentencia. Tenemos que verificar si alguno de nuestros proveedores cloud está en la lista de empresas asociadas al Privacy Shield. Si la respuesta es sí, deberemos verificar las condiciones del acuerdo con dicho proveedor teniendo en cuenta lo comentado en el apartado anterior y reclamar la actualización de las mismas. Además, tenemos que revisar y actualizar los Registros de Tratamiento, contratos, políticas de privacidad y cláusulas de información.
Autor: Fernando Seco, Director del Área de GRC en S2 Grupo
Si (
No(
