Después de que primero el Acuerdo de Puerto Seguro y luego el Escudo de Privacidad fueran anulados legalmente, las relaciones contractuales con las transferencias de datos entre la UE y los Estados Unidos se basan en las llamadas cláusulas contractuales tipo. Sin embargo, incluso estos podrían ser revocados en algún momento.
La supresión del acuerdo Privacy Shield (véase el recuadro) ha dado un gran impulso a la evaluación legal de la cooperación con los proveedores de la nube de países no pertenecientes a la UE, es decir, principalmente de Estados Unidos. "En Gridscale lo hemos notado en la demanda de nuestras soluciones, que ahora cuentan con las certificaciones ISO-27001 e ISO-27018, pero también en el número de descargas de un documento de 24 páginas sobre el tema, que ponemos a disposición de forma gratuita", informa Henrik Hasenkamp, director general de Gridscale.
El libro blanco "Riesgos legales al utilizar proveedores internacionales de la nube" fue elaborado junto con el bufete de abogados "Heuking Kühn Lüer Wojtek" y trata de los problemas legales con los datos personales que pueden surgir aquí, por ejemplo, con la oficina de impuestos, el comité de empresa, la ley AGB y otras áreas. "Para entender los problemas, en realidad hay que empezar por el Acuerdo de Puerto Seguro, que fue abolido en 2015", detalla Hasenkamp. "Los jueces del TJCE presentaron en su momento una larga lista de deficiencias y decidieron que el acuerdo no podía ser válido con estos antecedentes". Una de las principales críticas fue que una persona afectada no tiene ninguna forma práctica de hacer valer los derechos que le corresponden en relación con los datos personales. Además, la transferencia de datos a los servicios de inteligencia y a las autoridades se considera un problema.
La UE se vio entonces obligada a actuar y se sacó de la chistera el "Escudo de la privacidad".
"Llegó como tenía que llegar"
Hasenkamp describe su perspectiva: "Sin embargo, en el momento de la introducción ya estaba claro que no se habían aclarado los puntos centrales de las críticas respecto a la exigibilidad de los derechos. "Ahora llegó como tenía que llegar: tras un nuevo examen, se determinó que los afectados personalmente de la UE no pueden hacer valer en la práctica dichos derechos en el sistema judicial de EE.UU. y que los servicios secretos siguen teniendo un acceso muy liberal a los datos, por lo que ahora también se ha anulado el Escudo de Privacidad", afirma el director general de Gridscale. Un tribunal irlandés ya había expresado al TJUE sus dudas sobre la eficacia del Escudo de la Privacidad. El TJCE ha anulado ahora este acuerdo porque considera que las medidas adoptadas por las autoridades de seguridad estadounidenses violan los derechos de los ciudadanos de la UE. Estos tienen amplios poderes para acceder a los datos, incluidos los de los ciudadanos de la UE.
Las cláusulas contractuales tipo de la UE
A partir de ahora, la cooperación con las empresas que procesan datos personales en el extranjero, por ejemplo en Estados Unidos, puede basarse en las cláusulas contractuales tipo de la UE. En este caso, no son los acuerdos intergubernamentales como Safe Harbor o Privacy Shield los que deben proteger los derechos de los usuarios, sino los acuerdos entre socios contractuales. Hasenkamp señala un aspecto importante: "Como no se trata de un acuerdo intergubernamental, sino de relaciones contractuales entre empresas individuales, es bastante más difícil declararlas inválidas"."
Información complementaria sobre el tema
El quid de la transferencia de datos
El Tribunal de Justicia de la Unión Europea (TJUE) dictó su sentencia en el caso "Schrems II" (C-311/18) el 16 de julio: El Escudo de la Privacidad, que hasta ahora regulaba la transferencia de datos entre la UE y EE.UU., ya no es válido. Esto tiene consecuencias de gran alcance. Primero, las buenas noticias para las empresas: Aunque el TJCE ha anulado el acuerdo transatlántico de protección de datos, las controvertidas cláusulas contractuales tipo de la UE, que sirven de base jurídica para las transferencias de datos a todos los países fuera de la UE, siguen siendo válidas. Esto es importante para todas las empresas que transfieren datos personales a países no europeos y, por tanto, también a Estados Unidos. Porque sin las cláusulas contractuales estándar de la Comisión Europea, toda la transferencia mundial de datos se habría paralizado. Sin embargo, el rumbo de la transferencia de datos de la UE a EEUU se está replanteando (una vez más), ya que tras el Safe Harbor de 2015, el TJUE también ha declarado inválido el acuerdo sucesor Privacy Shield para el intercambio de datos transatlántico.
http://bit.ly/PrivacyShield-1
El escollo de los comisarios de protección de datos
Sin embargo, en opinión de Hasenkamp, las cláusulas contractuales estándar de la UE también están en juego a largo plazo: "Supongo que tarde o temprano se presentarán quejas sobre el tratamiento de datos personales y la cuestión de la falta de exigibilidad de los derechos relativos a los datos personales volverá a surgir a través de la institución de los comisarios de protección de datos. Las voces correspondientes de los comisarios de protección de datos individuales ya se pueden escuchar".
La cuestión también tiene dimensiones geopolíticas. Gaia-X pretende promover una "nube europea", pero paralelamente se está trabajando en acuerdos de seguimiento con Estados Unidos.