Somos plenamente conscientes de que muchos responables del tratamiento están abrumados por la reciente sentencia del TJUE sobre las transferencias de datos entre la UE y los EEUU y la falta de un período de gracia. Hemos resumido las preguntas y respuestas más comunes abajo. También proporcionamos dos modelos de textos de solicitud que puede enviar a cualquier socio de los EEUU o de la UE con vínculos con los EEUU. La adopción de medidas rápidas puede ser un factor relevante en caso de que una autoridad de protección de datos (APD) considere la posibilidad de imponer multas por incumplimiento de la sentencia del TJEU. En los próximos días actualizaremos estas preguntas frecuentes y publicaremos preguntas frecuentes específicas y textos modelo para los usuarios ("los interesados"). Háganos saber si tiene algún comentario.
Texto modelo para las solicitudes a proveedores estadounidenses o con vínculos con EEUU
Puede utilizar estas solicitudes modelo para los tipos más comunes de flujos de datos entre la UE y los EEUU que pueden ser afectados por la sentencia de la TJUE:
- Modelo de solicitud a los importadores de datos de los EEUU si todavía utiliza las CCTs (análisis "caso por caso")
- Modelo de solicitud a los proveedores que tratan datos en la UE/EEE pero que tienen vínculos con EEUU (análisis "caso por caso")
Pronto añadiremos más solicitudes de modelos para otras situaciones.
Preguntas frecuentes para las empresas de la UE
- ¿Cuáles son las consecuencias cuando no tomo medidas?
El TJUE ha destacado que los responsables del tratamiento y (si los responsables están inactivos) las APDs tienen el deber de actuar para suspender o prohibir las transferencias de datos (párrafo 134 de la sentencia) cuando carecen de un instrumento jurídico válido para una transferencia. Esto significa que no hay posibilidad de un "período de gracia" en este caso.
En virtud del RGPD hay una penalización de 20 millones de euros o el 4% del volumen de negocios mundial si se sigue transfiriendo datos sin un instrumento jurídico válido (artículo 83 5) c) del RGPD). Las ONGs, los consejos de trabajadores o los usuarios individuales pueden presentar quejas o demandas, incluso por daños emocionales.
Es probable que una APD no multe a un responsable si éste puede demostrar que todas las medidas para cumplir con la sentencia del TJUE se tomaron lo más rápido posible. Esta página está pensada para permitir a los repsonsables demostrar tales medidas.
- Revise si necesita transferir datos al extranjero desde una perspectiva empresarial
En muchos casos, los proveedores externos no pertenecientes a la UE/EEE fueron elegidos con poca consideración de las ramificaciones. Por lo tanto, es posible que en muchos casos pueda cambiar a un proveedor de la UE/EEE (o a un proveedor de un país "adecuado" como Suiza) y así evitar por completo cualquier problema relacionado con la transferencia de datos.
Incluso si utilizar un proveedor de la UE/EEE puede parecer más costoso inicialmente, el tiempo que se invierte en legalizar una transferencia fuera de la UE/EEE puede costarle más de lo que se ahorra en una oferta más barata desde el extranjero.
- Si todavía utiliza las CCTs para realizar transferencias a cualquier proveedor no perteneciente a la UE o al EEE, ¿qué debe hacer?
El responsable del tratamiento y el proveedor pertinente deben hacer un análisis "caso por caso" (párrafo 134 de la sentencia), para comprobar si hay leyes nacionales a las que este proveedor esté sujeto que violen eI RGPD y la Carta de Derechos Fundamentales.
Por lo general, las leyes que permiten el acceso a los datos por parte de los organismos de aplicación de la ley en casos individualizados y sujetos a la aprobación de un juez se ajustarán a la legislación de la UE. Las formas de acceso menos democráticas y de mayor alcance ("tratamiento de masas") o el acceso sin revisión judicial serán incompatibles con la legislación de la UE.
- Si utilizo específicamente las CCTs para las transferencias a un proveedor de EEUU, ¿qué tengo que hacer?
La mayoría de los proveedores de servicios en la nube de EEUU caen bajo la norma FISA 702 y no podrá utilizarlos más. La definición en 50 USC § 1881(b)(4) para un "proveedor de servicios de comunicación electrónica" enumera:
- Proveedores de servicios de computación a distancia,
- Proveedor de servicios de comunicación electrónica,
- Operadores de telecomunicaciones,
- Cualquier otro proveedor de servicios de comunicación que tenga acceso a comunicaciones electrónicas o por cable, ya sea cuando se transmiten dichas comunicaciones o cuando se almacenan dichas comunicaciones, y
- cualquier funcionario, empleado o agente de dicha entidad.
Si no está seguro, puede preguntar a su proveedor si ellos mismos están bajo la norma FISA 702 y/o si tienen las protecciones adecuadas contra la vigilancia de terceros en tránsito (bajo la norma FISA 702 y/o EO 12.333). Como cada situación es diferente, hemos preparado preguntas de muestra preliminares, que puede utilizar gratuitamente para saber más sobre si su solución de tratamiento en los EEUU cumple con la sentencia:
Descargar: Ejemplos de preguntas para el uso de las CCTs con un proveedor de EEUU (inglés)
- Si utilizo un proveedor que trata datos en la UE/EEE, pero está vinculado a (o utiliza) una empresa de EEUU, ¿qué tengo que hacer?
FISA 702 y EO 12.333 no tienen ninguna limitación territorial. También se aplican a los servidores de la UE que son operados por un "proveedor de servicios de comunicación electrónica" de los Estados Unidos o en los que ciertas operaciones se subcontratan a un proveedor de los Estados Unidos. Por lo tanto, la ubicación del alojamiento es irrelevante.
En algunos casos, los proveedores pueden haber limitado suficientemente el acceso fáctico ("posesión, custodia o control") de las entidades estadounidenses, de modo que un servidor de la UE/EEE está de hecho fuera del alcance del gobierno de los Estados Unidos. Por ejemplo, esto puede ocurrir si una entidad de la UE está obligada por el RGPD a no proporcionar datos a la sociedad matriz de los Estados Unidos y no existe un acceso fáctico por parte de la sociedad matriz de los Estados Unidos.
Como cada situación es diferente, hemos preparado preguntas de muestra preliminares, que puede utilizar gratuitamente para saber más sobre si su solución de tratamiento de la UE cumple con la sentencia:
Descargar: Ejemplos de preguntas para el alojamiento en la UE, con un enlace a los EEUU (inglés)
- ¿Qué hay de la vigilancia en tránsito?
En el párrafo 183 del C-311/18, el TJUE también determinó que la vigilancia de los Estados Unidos "en tránsito" (como la de "aguas arriba" o la de los grifos de los cables submarinos) viola los derechos fundamentales de la UE.
Desde la perspectiva del RGPD, adoptamos la posición preliminar de que esa manipulación externa de los datos personales entra principalmente en el ámbito del artículo 32 del RGPD ("seguridad del tratamiento"). Por lo tanto, el exportador y el importador de datos deben aplicar medidas técnicas y organizativas adecuadas para proteger los datos transferidos de los pinchados de la NSA/FBI.
Dado que el gobierno de los EEUU tiene amplios poderes para romper la criptografía, es principalmente una cuestión técnica en cada situación de transferencia si y cómo es posible una solución técnica. El gobierno de los EEUU afirma que utiliza principalmente "selectores" (como direcciones de correo electrónico, direcciones IP o números de teléfono) para programas como Upstream. Por lo tanto, cualquier enfoque técnico tiene que asegurar que tales selectores estén por debajo de la capa de cifrado de extremo a extremo. En muchas formas de comunicación directa (como un correo electrónico encriptado PGP) los "selectores" no están en sí mismos cifrados.
Puede utilizar las preguntas de muestra anteriores para preguntar a su proveedor sobre las medidas contra la vigilancia en el tránsito.
- ¿Hay una lista de proveedores de los EEUU que están sujetos a estas leyes de vigilancia?
No hay una lista completa de todos los proveedores estadounidenses que entran en el ámbito de aplicación de la norma 702 FISA (50 USC § 1881a), ya que todos los "proveedores de servicios de comunicación electrónica" entran en el ámbito de aplicación de esta ley. La definición de "proveedor de servicios de comunicación electrónica" puede encontrarse en 50 USC § 1881(b)(4).
Al mismo tiempo, varias empresas han publicado incluso los llamados "informes de transparencia" que enumeran los accesos en virtud de la FISA. Esto nos permite saber que estas empresas están definitivamente bajo una orden de la FISA.
Puede encontrar algunos ejemplos aquí (muchas otras empresas simplemente no comparten esa información, a pesar de estar bajo la norma FISA 702):
Verizon Media (ex Oath & Yahoo)
- ¿Quién es responsable de los costos de aplicación de las consecuencias del C-311/18?
Si usted usó las CCTs antes para sus transferencias, la ley no ha cambiado. Cualquier proveedor no perteneciente a la UE o al EEE tenía el deber de informarle sobre leyes como la FISA 702 y la EO 12.333. Si no lo han hecho, son responsables de todos los costos que resulten de la cancelación de las CCTs y la transferencia de datos de vuelta a la UE/EEE, ya sea en virtud de la Cláusula II del Anexo de la Decisión 2004/915/CE o la Cláusula 5(b) del Anexo de la Decisión 2010/87.
La Decisión del Privacy Shield fue una decisión ejecutiva incorrecta de la Comisión Europea. En teoría, se pueden presentar reclamaciones por daños y perjuicios contra la UE en virtud del artículo 340 del TFUE.
- ¿Puedo usar simplemente el artículo 49 del RGPD para todas las transferencias de los Estados Unidos?
El Comité Europeo de Protección de Datos (CEPD) ha adoptado la posición de que el Artículo 49 sólo puede utilizarse para "transferencias ocasionales y no repetitivas", lo que limita el artículo 49 a situaciones individuales en las que los usuarios han dado su consentimiento explícito o si la transferencia es estrictamente necesaria para ejecutar un contrato (por ejemplo, una reserva de hotel en el extranjero).
Al contrario de lo que se afirma, la externalización de las operaciones de tratamiento no es estrictamente "necesaria" para ejecutar el contrato, si en teoría también podría utilizar un proveedor de la UE/EEE o tratar los datos internamente. Los responsables del tratamiento también deben tener en cuenta que los interesados pueden retirar su consentimiento en cualquier momento.
Si bien el artículo 49 permite mantener abiertas las comunicaciones "de base" con cualquier país del mundo (de Suiza a Corea del Norte), sólo constituye una excepción para las transferencias que sean crucialmente necesarias.
Enlace: Directrices 2/2018 sobre las excepciones del artículo 49 (inglés)
- ¿Cómo puedo evaluar si la legislación del tercer país es compatible con los derechos fundamentales de la UE?
Después de la sentencia Schrems I, en 2016, el Grupo de Trabajo del Artículo 29 (ahora CEPD) proporcionó una orientación clara sobre lo que puede y lo que no puede considerarse una interferencia justificable en los derechos fundamentales en una sociedad democrática en lo que respecta a la legislación sobre protección de datos (artículos 7 y 8 de la Carta). En este Documento de Trabajo, las APDs ya han identificado cuatro Garantías Esenciales Europeas que deben respetarse en los países a los que se envían los datos de la UE:
A. El tratamiento debe basarse en normas claras, precisas y accesibles;
B. Se debe demostrar la necesidad y la proporcionalidad con respecto a los objetivos legítimos que se persiguen;
C. Debería existir un mecanismo de supervisión independiente;
D. Los remedios efectivos deben estar disponibles para el individuo.
Se observará que el TJUE utilizó al menos dos puntos de esta orientación para invalidar el Privacy Shield. Por lo tanto, puede ser útil para usted mirar primero este Documento de Trabajo.
Enlace: Documento de Trabajo 237 del Grupo de Trabajo del Artículo 29 (inglés)
