El escenario más optimista deja a EEUU y a la Unión Europea sin acuerdo para transferir datos hasta verano: qué puedes hacer para no vulnerar la ley

El acuerdo marco que garantizaba las transferencias de datos personales entre la Unión Europea y Estados Unidos es inválido desde julio de 2020, cuando una sentencia del Tribunal de Justicia de la UE dictaminó que las garantías en el procesado de esa información no eran equitativas en ambos lados del Atlántico.

Aquel acuerdo se llamaba Privacy Shield y fue tumbado por una sentencia conocida por Schrems-II. La sentencia Schrems original es de 2016 y también derribó el anterior acuerdo entre Washington y Bruselas, aquel conocido como Safe Harbor.

Las revelaciones que hizo Edward Snowden sobre cómo las agencias federales estadounidenses como la NSA intervenían sobre los datos personales de ciudadanos extranjeros hizo que se tambaleara la confianza que podía haber a ambos lados del Atlántico.

La Administración de Joe Biden presentó en octubre del año pasado una orden ejecutiva federal con concesiones y promesas para que la Comisión Europea de Ursula von der Leyen firmase una nueva decisión de adecuación, y de esta manera volviera a estar activo el amparo legal a estos flujos de datos, cruciales para gigantes tecnológicas como Google o Meta.

Pero ocurren varias cosas. Por un lado, los compromisos de EEUU no convencen ni a expertos ni siquiera a la Comisión de Libertades Civiles, Justicia e Interior de la Eurocámara, que esta semana vota una propuesta de resolución en la que anima al Ejecutivo comunitario a rechazar un nuevo acuerdo transatlántico.

Por el otro, toda esta enquistada batalla legal sobre transferencias de datos personales no solo afectan a las multinacionales tecnológicas al otro lado del charco. También te afecta a ti.

Europa ultima el 'apaño' que legaliza el envío de datos a EEUU: es crucial para la supervivencia de las grandes tecnológicas y así te afecta como usuario

A ti como usuario: tus datos, a día de hoy, siguen viajando de forma arriesgada a América con un procesado que no cumple con los estándares y garantías del Reglamento General de Protección de Datos. Pero también a ti como posible emprendedor o empresario: si usas herramientas que transfieren datos a EEUU, te juegas una sanción.

Estas sanciones las pueden imponer los organismos de control del RGPD. En el caso de España, es la Agencia Española de Protección de Datos (AEPD) la que podría imponer sanciones por vulnerar el RGPD al entender que muchas empresas, haciendo uso de herramientas de marketing tan comunes como Google Analytics, están transfiriendo datos a EEUU sin amparo legal.

Países con los que sí se pueden exportar datos personales si trabajas con proveedores extranjeros

Que todavía no haya sucedido no quiere decir que no pueda suceder. Países como Francia ya entendió que estas transferencias de datos eran ilegales, atendiendo la sentencia del TJUE, e incluso el Supervisor Europeo de Protección de Datos apercibió a la Eurocámara por usar Google Analytics, favoreciendo esas transferencias consideradas ilegales desde 2020.

La RAE se libró a finales del año pasado de un apercibimiento por transferir datos a Google, puesto que la web de la Real Academia Española dejó de usar Google Analytics a finales de 2020. La Agencia Española de Protección de Datos entendió que la entidad había vulnerado el RGPD pero archivó sus actuaciones dado que ya se había corregido y subsanado el error.

Todo el sector está en vilo con lo que puede pasar en las próximas semanas. Irlanda ya ha amenazado con bloquear todas estas transferencias. En un escenario más optimista —para la certidumbre jurídica de la industria digital—, Bruselas ignorará los informes no vinculantes de la Eurocámara y el acuerdo para transferir datos a EEUU podría reactivarse este verano.

Es improbable que eso suceda. La propia AEPD explicita de forma muy clara en su página web que la Comisión Europea tiene decisiones de adecuación —un mecanismo legal con el que se acepta que un país extranjero sea receptor de datos personales europeos— con diversos estados.

Estos estados son Suiza desde el año 2000, Canadá desde 2002, Argentina y Guernsey desde 2003, Isla de Man desde 2004, Jersey desde 2008, las Islas Feroe y Andorra desde 2010, Israel desde 2011, Uruguay desde 2012, Nueva Zelanda desde 2013, Japón desde 2019 y Reino Unido y Corea del Sur desde 2021.

Todo esto implica que si tienes un negocio en el que tratas datos personales de tus clientes o proveedores, lo más recomendable es que uses herramientas que no remitan esos datos a países que no figuren en esa lista o no formen parte de la Unión Europea, como es el caso de EEUU.

Tampoco sirven las cláusulas contractuales tipo

Además de hacer transferencias de datos a esos países —o contar con herramientas de proveedores afincados en los mismos—, existe una alternativa. Las cláusulas contractuales tipo son un tipo de cláusulas que se pueden incluir en los contratos que particulares y organismos firmen cuando se va a realizar una transferencia de datos al extranjero.

Esas cláusulas tipo pueden ser aportadas por la Comisión Europea o por un organismo regulador —la propia AEPD— y puede motivar esas transferencias. Las cláusulas tipo de la Comisión fueron sustituidas precisamente a instancias de la sentencia Schrems-II, y el período transitorio para hacer uso de las nuevas terminó en diciembre de 2022.

Sin embargo, esas cláusulas contractuales tipo no sirven para exportar o colaborar en la exportación de datos personales a EEUU. Lo que sí sucede con otros países no es posible aplicarlo a EEUU ya que la sentencia de 2020 es clara sobre los riesgos en el tratamiento de datos personales allí.

La AEPD abre la puerta a hacer uso, además de estas cláusulas tipo, de códigos corporativos, certificados, y un sinfín de excepciones posibles que en ningún caso se pueden aplicar a la hora de transferir datos personales a EEUU. Sin embargo, muchas empresas siguen haciendo uso de herramientas que están basadas allí. Google Analytics es un buen ejemplo.

Qué recomiendan los expertos

Ante esta tesitura, los expertos hablan claro. Si el problema ante la ausencia de mecanismos para transferir datos a EEUU persiste, lo mejor es cumplir escrupulosamente el Reglamento General de Protección de Datos optando por herramientas fuera de EEUU, con esepecial predilección por aquellas que se asienten sobre suelo europeo.

Es la opinión de Alexander Ingelheim, un aleman que se dedica a la protección de datos, y que en este artículo desgrana por qué es necesario buscar alternativas a empresas estadounidenses. Aclara que empresas jóvenes o que acaban de nacer tienen más flexibilidad a la hora de elegir "una herramienta de marketing, de contabilidad o de recursos humanos".

Por eso también aconseja que aquellas empresas que no puedan prescindir de un proveedor estadounidense de la noche a la mañana incluyan en sus contratos evaluaciones de impacto de transferencias de datos y apliquen cláusulas tipo en la medida de lo posible.

La opinión de Ingelheim la comparte desde España Gonzalo Oliver, especialista en protección de datos y en ciberseguridad en OZONIA Consultores, además de miembro de la Asociación Española de Delegados de Protección de Datos.

No, tu jefe no puede meterte en un grupo de WhatsApp del trabajo sin tu permiso: la AEPD aclara que su doctrina no ha cambiado

Oliver, en declaraciones a Business Insider España, confirma que las sanciones económicas podrían recaer directamente en empresas españolas que trabajen con proveedores que no ofrezcan garantías para con el RGPD: el artículo 28 ya exige a los tratamientos de datos derivados de esas relaciones comerciales que se suscriba un contrato de tratamiento de datos siempre.

Oliver, en ese sentido, es categórico. Da 2 consejos:

"No usar nada con transferencias internacionales a Estados Unidos". Y a la hora de buscar una alternativa, "elegir una empresa dentro de la Unión Europea o de un país considerado puerto seguro por la Unión Europea". "Que seguro que existen", abunda.

El propio Oliver reconoce que ya ha recomendado a muchos de sus clientes el buscar alternativas. Los proveedores no son únicamente Google o Meta, aunque estas 2 grandes tecnológicas sean las que más señaladas están siendo por todo el conflicto en torno a las transferencias de datos. También pueden ser plataformas para dar citas a clientes.