Des d’ahir, 16 de juliol del 2020, únicament es poden tractar dades personals de la UE als EUA si es compleix una de les excepcions contemplades a l’article 49 de l’RGPD, per exemple, si compta amb el consentiment explícit dels seus interessats, o s’afegeixen mesures addicionals a les clàusules contractuals tipus (el que sembla complicat).

Aquest post intenta resumir quines conseqüències té la il·legalització dels mecanismes per transferir dades personals als EUA, i resoldre algunes preguntes que potser s’està fent.

Conseqüències

Hi ha més de 5.300 empreses (entre elles, 259 amb els seus “head quarters” a Europa) certificades per l’anomenat “Escut de Privacitat”. Aquesta certificació, en poques paraules, diu que l’empresa certificada és segura i tracta les dades personals conforme exigeix l’RGPD.

Fins ahir, la majoria d’aquestes empreses estaven autoritzades a tractar als EUA dades personals de persones que són a la UE pel fet d’estar certificades, de ser segures.

Ahir, el Tribunal de Justícia de la Unió Europea (TJUE) va deixar clar que la transferència de dades personals als EUA té dos riscos:

  1. el risc d’ús inadequat o la falta de seguretat a l’empresa que rep les dades (com en qualsevol altra transferència de dades, internacional o no),
  2. el risc que les agències governamentals dels EUA accedeixin a les dades de forma no suficientment limitada i controlada, sense que els interessats puguin defensar-se.

Segons el TJUE, aquest últim risc fa que les dades personals no puguin estar als EUA sota el nivell de protecció exigit per la UE.

Per tot l’anterior, només es podran tractar als EUA les nostres dades personals:

  • quan l’empresa que rep les dades als EUA no està dins les “supervisades” pel Govern d’aquest país, i s’estableixen clàusules contractuals tipus per la transmissió de les dades amb salvaguardes addicionals (veure més endavant), o
  • quan la UE i els EUA trobin un acord marc vàlid per a la transferència de dades personals amb garanties suficients ( GAIA-X?), o
  • si es dóna una de les excepcions previstes a l’RGPD.

Com que en aquest moment únicament existeix l’opció d’enviar dades als EUA basant-nos en les excepcions, començarem explicant quines són.

Excepcions previstes a l’article 49 de l’RGPD

L’RGPD preveu excepcions a la prohibició de transferir dades personals fora de la UE quan no hi ha garanties suficients per la protecció d’aquestes. Resumides, són les següents:

  1. Que els seus interessats consenteixen explícitament que el Govern dels EUA tracti les seves dades amb les seves pròpies finalitats i termes de conservació.
  2. Que tingui un contracte amb l’interessat, i no hi hagi cap altre proveïdor de servei amb el qual pugui executar-lo.
    • S’ha d’assegurar que realment no hi ha proveïdors alternatius, amb independència que
      • el preu sigui inassequible, o
      • pugui requerir canvis en el disseny del seu servei.
  3. Que el proveïdor sigui irreemplaçable i presti un servei necessari per l’execució d’un contracte entre l’interessat i un tercer, en interès de l’interessat.
    • Notar que el tercer pot ser una persona o una organització, i que
    • Òbviament, el terme “irreemplaçable” té les consideracions ja indicades en l’anterior excepció.
  4. Que la transferència de dades als EUA sigui necessària per raó d’interès públic.
    • El que ha d’estar secundat per una norma amb rang de llei.
  5. Que vostè hagi de transferir dades als EUA per formular o defensar-se de reclamacions.
  6. Que la transferència als EUA sigui qüestió de vida o mort (interès vital de l’interessat o un tercer).
  7. Que la transferència sigui de dades d’un registre públic, i només en determinades condicions.
    • Si pensa que aquest pot ser el seu cas, consulti’ns quines són aquestes condicions.

Les excepcions 2 i 3 no són aplicables als responsables que, per la seva naturalesa, estiguin subjectes al dret de les administracions púbiques.

Preguntes que, potser, s’està fent

I si tinc proveïdors de serveis als EUA i no m’apliquen les excepcions, què faig ara?

Intenti acordar formalment amb el proveïdor que les seves dades no s’enviïn als EUA. Que es tractin dins la UE o en països amb legislació adequada.

En cas que el proveïdor tingui centres de processament de dades (CPDs) a la UE o en països “adequats a l’RGPD”, se li pot demanar:

  • Que s’inclogui al contracte d’encarregat en vigor (i si no en té, fer-lo) :
    • les clàusules contractuals tipus establertes per la Comissió Europea,
    • clàusules per compensar les actuals deficiències que tenen aquestes (ja que es van fer per la anterior directiva, no per l’RGPD), i
  • Que es comprometi a tractar les seves dades a la UE o països adequats.

D’aquesta manera no necessitarà el consentiment explícit dels interessats, o qualsevol altra excepció, perquè no hi ha transferència de dades als EUA. El seu proveïdor tracta les dades dins la UE, o en països adequats, i les clàusules li impedeixin transferir dades a la central dels EUA.

Si, malauradament, el seu proveïdor no té aquests CPDs i no troba una excepció, avui, només té dues sortides:

  • Que aquest proveïdor contracti CPDs a la UE o en països adequats, o
  • Que vostè canviï de proveïdor.

I si el contracte que tenia amb el proveïdor es basava en les Clàusules Contractuals Tipus (CCT) definides per la Comissió Europea?

Malauradament, de la sentència del TJUE es conclou que, avui, ni vostè ni el seu proveïdor poden complir les clàusules, llevat que l’empresa amb la que treballi no sigui del sector que el Govern pot supervisar o que s’incloguin mesures de seguretat addicionals que poden comportar una complexitat considerable.

Les CCT continuen sent vàlides per legitimar transferències fora de la UE i a països adequats, però assegurant que es compleix amb les obligacions que estipulen.

A tal fi, el TJUE, ha dictat un nou requisit a tot el que les faci servir: El responsable de les dades ha de:

  1. analitzar el nivell d’adequació de la normativa del país de destinació (amb el suport del proveïdor), i
  2. implantar mesures de seguretat addicionals fins a aconseguir l’estàndard europeu.

En el cas dels EUA, és complicat complir amb el punt 2 quan l’empresa que rep les dades està sotmesa a les lleis de vigilància de la seguretat nacional, llevat que s’implementi una de les mesures que comentem en el següent apartat, o es torni a establir un acord entre els EUA i la UE per a que:

  • els EUA limitin i controlin el tractament que les agències poden donar a les dades personals dels estrangers, i
  • els EUA implementin un mecanisme per a que un interessat estranger pugui portar a les institucions als tribunals si es considera mal tractat.

Aquestes lleis són bàsicament les següents, i afecten proveïdors de serveis de comunicació com els esmentats a la capçalera d’aquest apartat (no a detallistes, fabricants, o altres dels milers d’empreses que estan certificades per l’Escut de Privacitat). Malauradament, la majoria de les empreses amb les que treballem des d’Europa són proveïdors de serveis de comunicacions, o són empreses que no tenen centres de dades propis i subcontracten serveis als núvols del seu país. Per al qui vulgui llegir més sobre l’abast de les empreses obligades a compartir dades amb les agències governamentals dels EUA, les lleis que les obliguen són bàsicament  tres:

  • la “U.S. Foreign Intelligence Surveillance Act Section 702”,
  • la “Executive Order 12333”, i
  • la “Presidential Policy Directive 28”

Cap responsable o proveïdor pot aconseguir pels seus medis l’anterior, i per tant, els contractes amb empreses dels EUA basats en CCTs que no afegeixin mesures de seguretat addicionals no són vàlids.

A més, les Autoritats de Control (a Andorra, l’APDA) poden qüestionar la validesa de les CCT en relació amb països concrets. És molt probable que alguna d’aquestes autoritats de control (per exemple, l’alemanya) ordeni la paralització de fluxos de dades cap als EUA basats en aquestes, i hi hagi un efecte en cadena. Si això succeeix, el ritme del canvi el marcarà l’autoritat de control, podent succeir que el termini d’adequació (si n’hi ha) sigui inferior al que vostè necessiti.

Afegit al post després de la seva creació: comunicat de l’APDA en relació a lafectació de la sentència Schrems II a les transferències internacionals de dades entre Andorra i els EUA

Finalment, com dèiem, les CCT actuals es van fer per a l’antiga Directiva, no per a l’RGPD i seran substituïdes molt aviat.

Mesures de seguretat addicionals que podrien donar validesa a les CCT (afegit al post després de la seva creació)

Assumint que les comunicacions de les dades, i fins i tot les dades emmagatzemades, poden ser “espiades” amb finalitats incompatibles amb les informades als interessats, les “mesures addicionals” han d’estar encaminades a impedir que la informació que es pugui “espiar” sigui útil per qui l’espia. Hi ha tres formes d’aconseguir-ho:

  • Pseudonimitzar les dades personals abans que surtin de la vostra organització (aquesta és la mesura més viable).
  • Xifrar-les abans que surtin de la vostra organització (el que pot ser difícil, si no impossible, si esteu usant una eina en un núvol dels EUA).
  • Anonimitzar-les (normalment impossible d’implementar si volem continuar usant-les per personalitzar el servei/oferta).

I si en el meu contracte es parla de l’Escut de Privacitat (“Privacy Shield”)?

Atenint-nos a tot l’anterior, si en el seu contracte s’esmenta l’escut de privacitat, faci que el revisi un professional perquè probablement ja no val.

I això passa només amb els EUA?

No. Realment tenim el mateix problema amb les transferències de dades personals a qualsevol país que atorgui llibertats desproporcionades als seus serveis d’intel·ligència, sense atorgar els drets exigibles a favor dels interessats.

Conclusió

En conclusió, si el seu servei fa servir empreses que tracten dades personals als EUA (o a qualsevol altre país en el qual les agències governamentals poden esbrinar dades personals en el nom de la seguretat nacional de manera desproporcionada), probablement hagi de canviar coses per mantenir la licitud del seu servei:

  • O bé s’empara en alguna de les excepcions recollides en l’article 49 de l’RGPD (abans esmentades),
  • O bé el seu proveïdor passa a tractar les dades en un país amb normativa adequada a l’RGPD (com és el cas d’Andorra),
  • O bé canvia de proveïdor.

Les decisions que el 16 de juliol del 2020 va prendre el Tribunal de Justícia de la UE no admetent cap moratòria. És per això que podem dir que, avui, no hi ha altres alternatives.