Marco transatlántico de protección de datos: “¿Mismo perro con distinto collar?”
En la primera parte de nuestra serie, analizamos TLS y por qué este cifrado por sí solo no puede garantizar una comunicación por correo electrónico conforme al GDPR. En este artículo, examinamos más de cerca el Marco Transatlántico de Privacidad de Datos (Trans-Atlantic Data Privacy Framework).
Comentario de Stephan Heimel, LL.M., Procurador y Director de Ventas de SEPPmail – Deutschland GmbH
Después de que el Presidente de EE.UU. emitiera la Orden Ejecutiva (OE) 14086 el 7 de octubre de 2022 y de que su aplicación fuera confirmada por el Gobierno de EE.UU. el 3 de julio de 2023, la Comisión Europea publicó la decisión de adecuación sobre el nuevo Marco Transatlántico de Privacidad de Datos (MTPD) el 10 de julio de 2023. Mientras que el TJUE (Tribunal de Justicia de la Unión Europea) había declarado inválidos los predecesores «Safe Harbour» y, más recientemente, el «Privacy Shield» en las sentencias «Schrems I» y «Schrems II» de 2015 y 2020, este nuevo acuerdo pretende ahora garantizar que vuelva a ser posible la transferencia de datos legalmente segura entre proveedores de la UE y Estados Unidos. Tras una enmienda a la Ley de Vigilancia de Inteligencia Extranjera de EE.UU. (FISA), debería haber un nivel adecuado de protección de datos en EE.UU. de conformidad con el artículo 45, apartado 3, del RGPD. Una pequeña mosca en la sopa en este punto: no hay un reconocimiento general para los EE.UU. análogo a la decisión de adecuación con Suiza, por ejemplo. El reconocimiento sólo se aplica a las empresas que se han adherido al DPF mediante autocertificación (https://www.dataprivacyframework.gov).
Según la Comisión, las preocupaciones que llevaron al TJCE a sus sentencias anteriores han quedado disipadas: los servicios de inteligencia estadounidenses limitan su acceso a lo necesario y proporcionado. Un Tribunal de Protección de Datos permite a los denunciantes presentar una objeción, pero sólo después de haber planteado sus dudas a las autoridades de protección de datos de su país de origen. En una segunda fase, pueden presentar un recurso, siempre que las empresas estadounidenses se hayan adherido al DPF (Data Privacy Framework) mediante autocertificación. Los responsables del tratamiento en el sentido del art. 4 n.º 7 del RGPD sólo tienen que comprobar si la empresa con la que trabajan figura en la lista de empresas acreditadas y si el alcance del registro es aplicable al caso respectivo. Esta comprobación debe repetirse anualmente. Esto se aplica al menos hasta una posible nueva sentencia del TJCE y mientras un posible nuevo presidente de EE.UU. no haya revocado la OE 14086.
Si se pregunta a uno de los «líderes del mercado» o a los clientes que ya utilizan M365 o tienen previsto utilizarlo, por ejemplo, saltan los tapones de champán y se oyen afirmaciones como: «Lo que todo el mundo utiliza no puede ser malo», «Ahora por fin podemos utilizar los servicios en línea de Microsoft sin problemas» o «Con nuestro enfoque de riesgo en lugar de ley, siempre estuvimos en el lado seguro». Sin embargo, si se habla con abogados o expertos en protección de datos, la euforia se desvanece y da paso a la realidad. Ha habido numerosos análisis y comentarios en la literatura jurídica desde su entrada en vigor. El consenso general es que no hay absolución general. Desde el punto de vista jurídico, sigue habiendo problemas de utilización. ¿Qué debe tenerse en cuenta? FISA 702 (Foreign Intelligence Surveillance Act) estipula que sólo las personas estadounidenses no pueden ser vigiladas sin causa justificada de acuerdo con la constitución. Aunque se ha adoptado el concepto de proporcionalidad, la adopción lingüística no significa que el contenido se oriente también hacia las normas europeas.
El contenido de la FISA 702 no ha sido reformado. Existe un consenso general en que la FISA 702 viola tanto la 4ª Enmienda de la Constitución de EE.UU. como los artículos 7, 8 y 47 de la Carta de la UE. Los ciudadanos no estadounidenses no tienen derechos constitucionales en EE.UU. No existe una protección adecuada de la intimidad y, por tanto, la violación del derecho a la intimidad no es un problema. En cuanto al posible recurso, el Defensor del Pueblo se convirtió en el Oficial de Protección de la Libertad Civil (CLPO). Mientras que el Defensor del Pueblo era un empleado del Departamento de Estado de EE.UU., el CLPO está asignado al Centro de Coordinación de Inteligencia de EE.UU.. El Tribunal de Revisión de Protección de Datos, como tribunal de apelación, no es un tribunal ordinario. Los denunciantes reales no pueden participar en los procedimientos, sino que deben ser representados por representantes especiales. La Conferencia de Autoridades Independientes de Control de Protección de Datos Federales y Estatales (DSK para abreviar) tampoco parece confiar en los hechos. Así lo demuestra el alcance de las notas de aplicación de la DSK (en contra del voto del Comisario de Protección de Datos del Estado de Turingia) de 4 de septiembre de 2023 sobre el Marco de Privacidad de Datos UE-EE.UU.. Este documento consta de 32 páginas.
¿Por qué seguir buscando?
Sigue existiendo un riesgo residual en términos de cumplimiento y requisitos de protección de datos cuando se confía únicamente en la decisión de adecuación al utilizar soluciones de empresas estadounidenses. Cada empresa estadounidense sigue estando sujeta a las leyes nacionales. Desde 2018, la Clarifying Lawful Overseas Use of Data Act (CLOUD Act) exige a las empresas con sede en los Estados Unidos que concedan a las autoridades estadounidenses acceso a los datos almacenados en determinadas condiciones, incluso si los datos no se almacenan en los Estados Unidos. Por lo tanto, es concebible que la empresa matriz estadounidense pueda utilizar sus derechos de accionista para influir en la filial europea con el fin de cumplir sus obligaciones en virtud de la Ley CLOUD.
Las alternativas en Alemania y Europa, especialmente en lo que respecta a las tecnologías de cifrado, son múltiples. En caso de incidente, el enfoque caso por caso también se aplica aquí. El riesgo (residual) permanece y, en caso de incidente, lo asume la persona responsable, con los consiguientes riesgos de responsabilidad. Sin embargo, el riesgo no sólo recae sobre él. Las consecuencias – posiblemente personales – también le afectan. Las posibles sanciones en este caso podrían incluir, por ejemplo, reclamaciones de recurso contra la dirección o los responsables especiales de cumplimiento, protección de datos y seguridad de la información. En derecho civil, se suelen reclamar daños y perjuicios. Esto incluye también las pérdidas económicas sin límite máximo de responsabilidad. Las sanciones de derecho público incluyen multas, penas de prisión o sanciones administrativas. Las medidas reguladoras también pueden llevar al cierre de la empresa.
Debido al poder de mercado de uno u otro proveedor de EE.UU., es comprensible que las empresas europeas quieran utilizar sus soluciones. Para aumentar la seguridad con respecto a los requisitos de cumplimiento y protección de datos, es crucial tomar todas las medidas posibles en la práctica para minimizar o eliminar los riesgos (residuales). Para ello, los clientes tienen a su disposición una amplia gama de soluciones de seguridad (por ejemplo, para la comunicación segura por correo electrónico, incluidas tecnologías de filtrado) de proveedores locales, que también deberían aplicarse.
Avance de nuestra tercera parte: Aquí trataremos las notas de aplicación de la Conferencia de Autoridades Independientes de Control de Protección de Datos Federales y Estatales de 4 de septiembre de 2023 (contra el voto del Comisario del Estado de Turingia).