jueves, 23 de julio de 2020

La anulación del acuerdo Privacy Shield explicada con mutantes

Hace unos días supimos que el acuerdo Privacy Shield entre Estados Unidos y la Unión Europea ha sido anulado por el Tribunal de Justicia de la Unión Europea. 
Lo primero es entender para qué servía el acuerdo Privacy Shield. Para explicarlo voy a partir de la hipótesis de Xavier, con su escuela para jóvenes mutantes, ubicada en un pueblo a la orilla del río Alberche. Ahí los jóvenes mutantes reciben formación y aprenden a controlar sus poderes y a manejarlos. 
La infraestructura tecnológica de la escuela está desplegada en servidores ubicados en EEUU. Por ningún motivo en concreto, simplemente a Forja, el CTO de la escuela, le cuadró la oferta que le hicieron. 
En esa infraestructura la escuela tiene desplegadas diversas herramientas y aplicaciones. Quizás la más relevante, sea una base de datos que contiene las instrucciones para neutralizar a cualquier mutante que pierda el control de sus poderes, incluido el propio Xavier. 
El hecho de que una organización como la escuela de jóvenes mutantes, esté ubicada y preste sus servicios en la Unión Europea y mantenga sus servidores en países fuera de la Unión Europea, se considera una transferencia internacional de datos. Es decir, en este caso hay un flujo de datos desde España a EEUU donde están los servidores.
Las transferencias internacionales de datos sólo pueden realizarse a países que hayan sido declarados con un nivel de protección adecuado por la Comisión Europea. Y EEUU no es un país con nivel adecuado declarado por la Comisión (ups).
Como hay mucho tráfico comercial entre empresas de EEUU y la UE, se habilitó ese “nivel de protección adecuado” a través del Acuerdo Privacy Shield. Y de esa manera, las empresas estadounidenses podrían adherirse al acuerdo y con esa adhesión justificar su cumplimiento de las garantías necesarias y equivalentes con la normativa europea. 
En nuestra historia, el proveedor de los servidores cloud que contrató Forja para el despliegue de sus infraestructuras, estaba convenientemente adherido al acuerdo de Privacy Shield. 

¿Y entonces por qué se ha anulado el Privacy Shield?
Por la NSA. Si alguien ha visto The Good Wife y The Good Fight, sabrá que estas cuestiones siempre se acaban complicando por culpa de la NSA. Y si alguien ha visto estas series también sabrá que es complicado saber quién da las órdenes a la NSA. Podría ser hasta el Doctor Doom, visto lo visto. 
Y es que el Privacy Shield aplicaba y aportaba garantías pero tenía un truco que es, precisamente, sobre lo que se le ha preguntado al Tribunal de Justicia de la Unión Europea. La pregunta que le hicieron al tribunal fue: 
¿Garantiza el Privacy Shield un adecuado nivel de protección conforme a los requerimientos de la normativa europea?
Y la respuesta ha sido que no. Que dado que los principios del Privacy Shield pueden ser limitados si el Doctor Doom considera necesario el acceso a datos de ciudadanos europeos que estén albergados en servidores ubicados en EEUU, la protección equivalente no está garantizada. Y es que el Doctor Doom puede alegar motivos de seguridad o de interés nacional y solicitar acceso a los datos. 
Y recuerdo que Xavier tiene alojados en el server de EEUU, entre otros, los datos de neutralización de los poderes de los mutantes. Que se puede liar ahí un Genosa 2 si a la NSA le da por indagar en los servidores. 
En definitiva, cualquier transferencia internacional que estuviera amparada en el Privacy Shield debe ser interrumpida y los organismos reguladores (la Agencia de Protección de Datos en España), tienen potestad de prohibir esas transferencias. 

¿Y no hay alternativas?
Esta pregunta tiene su truqui. Al Tribunal de Justicia de la Unión Europea se le planteó también otra cuestión bastante relevante. Y es si tienen validez las cláusulas contractuales tipo (SCC en inglés). 
Las SCC son unos modelos de contrato publicados en los anexos de la Decisión 2010/87/UE. Esas SCC son, en resumen, un modelo de contrato que establece obligaciones para el exportador y el importador de los datos personales. Y esas obligaciones tienen la finalidad de garantizar que los datos personales que se transfieren al país de destino, se tratan con garantías adecuadas. 
Y lo que ha dicho el Tribunal es que las SCC sí que son perfectamente válidas y que facilitan mecanismos que aseguran adecuadamente la transferencia al tercer país. 
Eso sí, y aquí viene el plot twist, la transferencia debe ser prohibida o suspendida cuando no se puedan cumplir los requisitos establecidos en esas cláusulas contractuales.
Así que volvemos al Doctor Doom y la NSA. Y es que resulta que si las SCC sólo tienen capacidad de obligar a las partes que firman el contrato (el exportador y el importador) pero no vinculan a los organismos de EEUU, entonces estamos en las mismas. Porque la NSA (entre otros) podrá requerir al importador que facilite los datos de ciudadanos europeos y por ahí se van por el sumidero los derechos y garantías sobre los datos de ciudadanos europeos.
En definitiva, si se suscriben SCC entre las partes, el exportador debe tener en cuenta si los requisitos legales del país al que va a transmitir los datos permiten el cumplimiento de los SCC. Y debe tener en consideración también el acceso de las autoridades públicas del tercer país y aspectos legales de dicha legislación, en particular, que permitan cumplir con el artículo 45.2. 
¿Y entonces?
Aquí es donde se sienta Xavier, como CEO de la escuela de jóvenes mutantes, con Forja que es CTO y viene la pregunta de “¿qué hacemos Charles?”
Con un poco de suerte tienen también una Delegada de Protección de Datos a la que incluir en la sentada porque las transferencias internacionales que estaban amparadas por el Privacy Shield, tienen que dejar de hacerse. 

Spoiler de opciones ante la situación:
(1) Ver si el proveedor tiene la opción de ubicar sus servidores en Europa. 
(2) Revisar si las SCC negociadas entre exportador e importador garantizan los requisitos del artículo 45 del RGPD y ajustarlos si es que no pero, en el caso del EEUU, seguimos teniendo el asunto de seguridad nacional y el Doctor Doom.
(3) Es factible y no sé si plausible, que se llegue a un nuevo acuerdo entre la Unión Europea y EEUU. Un nuevo Privacy Shield al que adherirse. Al fin y al cabo, el Privacy Shield es el upgrade del anterior Safe Harbour que también fue invalidado. Lo que está por ver es qué opinará el Doctor Doom al respecto. 
(4) También se espera que se publiquen nuevas cláusulas contractuales tipo adaptadas al RGPD porque, las que he comentado aquí aunque válidas, en realidad se redactaron en el marco de la anterior Directiva ya derogada. 
(5) Está  el “elige tu propia aventura”del artículo 49 del RGPD, pero como dice su propio título es para “excepciones para situaciones específicas”
Yo creo que son tiempos para hablar con los responsables y delegados de protección de datos en las organizaciones para ver opciones.