2 noviembre, 2020

Cómo implementar la sentencia que evita que nuestros datos personales sean expuestos en el extranjero

Hace unos meses, nuestrxs amigxs de NOYB consiguieron la Sentencia Schrems II del TJUE que supone un gran avance para la privacidad y protección de los datos de la ciudadanía europea: implica que no se puedan trasferir datos de ciutadanxs europexs a los EEUU o países considerados poco seguros para la privacidad de los datos. La sentencia afirma que los derechos fundamentales de la ciudadanía europea no son respetados cuando sus datos son enviados a empresas de comunicaciones electrónicas de EEUU, ya que están obligadas a dar acceso a los datos que poseen a los servicios de inteligencia estadounidenses, y también anula el «Privacy Shield» o Escudo de Privacidad, sobre el que se basaban gran parte de las transferencias de datos personales a EEUU.
Este avance es tan importante que incluso Facebook ha amenazado de dejar su negocio en la UE, cosa de que nos alegramos, aunque en realidad no sucederá.
A partir de aquí, se trata de adecuar los contratos y las condiciones de uso de empresas prestadoras de servicios de comunicaciones electrónicas de manera a que respetemos estos avances, no nos ariesguemos a la invalidación de contratos ni seamos complices de un mal uso de los datos personales de la personas.

Deberíamos asegurarnos de que los contratos y los términos y condiciones de un servicio contengan una cláusula por el estilo (Fuente: https://noyb.eu/en/next-steps-eu-companies-faqs y https://noyb.eu/en/next-steps-users-faqs):

En caso de realizar transferencias internacionales de datos o tratar con prestadores de servicio u otros actores que las realicen o se encuentren en terceros países, nos remitimos a la cláusula II del anexo de la Decisión de la Comisión 2004/915/CE, y/o a la cláusula 5 b) del anexo de la Decisión de la Comisión 2010/87/UE, en virtud de las cuales usted tiene el deber de informarnos de cualquier disposición legal o práctica en los terceros países, si le son aplicables, que tenga o pueda tener un impotente efecto negativo sobre las garantías y obligaciones de protección de datos personales en cuanto tenga conocimiento de las mismas. Por ejemplo, disposiciones legales que le obliguen a ceder o comunicar los datos a autoridades gubernamentales sin conocimiento ni reconocimiento de derecho alguno en favor de los usuarios/ciudadanos europeos.
En caso de que usted no pueda demostrar el pleno cumplimiento de las cláusulas contractuales tipo mencionadas y/o del RGPD, nos reservamos el derecho de rescindir el contrato con usted y/o reclamar una indemnización por cualquier daño en virtud de la legislación aplicable (incluida, sin limitarse a ella, la cláusula III a) del Anexo de la Decisión 2004/915/CE).

Este texto es solo un ejemplo indicativo, no lo utilicéis sin más.

Revisar que las empresas que te dan servicio o colaboran contigo no son de EEUU u otros países de fuera de la UE con legislaciones poco garantistas (aquí un listado de los países seguros: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales), o que sus datos no se almacenan allí. Asegurarte también que los proveedores o colaboradores de estos tampoco lo sean.
Si lo son, asegúrate de que en el contrato esté esta cláusula o algo similar.

Como usuarix, intenta no utilizar servicios de empresas que no tengan claramente declarado que respetan esta sentencia, ej. Facebook. Es posible que muchas no hayan declarado nada al respecto y solo indiquen si cumplen con las normas de protección de datos personales.

 

FAQs
• Consecuencias en caso de inacción después de la sentencia: La autoridad de protección de datos tiene el deber de actuar para suspender o prohibir transferencias que no se fundamenten en un instrumento jurídico valido. No hay ningún período de gracia. Posible multa de 20M de € o 4% de la facturación anual bajo RGPD. ONGs y personas pueden reclamar y demandar, incluso pidiendo daños morales. Es probable (aunque no seguro) que la autoridad no ponga la multa si el responsable puede demostrar que ha tomado medidas para cumplir con la sentencia.

• ¿Quién debe pagar los costes de implantar la sentencia Schrems II? Los proveedores americanos tenían el deber de informar que les aplican FISA y EO 12.333 si se utilizaban las cláusulas contractuales tipo antes. Si no lo hicieron es su culpa y pagarían ellos de acuerdo con las mismas. Si las transferencias se llevaban a cabo bajo Privacy Shield puede reclamarse la responsabilidad de la Comisión Europea (art. 340 TFUE).

• ¿Qué es el Privacy Shield? ¿Y las cláusulas contractuales tipo? Métodos para transferir datos personales. El Privacy Shield, gracias a varias sentencias impulsadas por la ciudadanía, ya no existe porque lo ha anulado el TJUE. Las cláusulas ya no pueden utilizarse por las empresas que caigan bajo la aplicación de las leyes de vigilancia masiva de EEUU.

• ¿Qué transferencias son ilegales? Las que conllevan vigilancia masiva (ver apartado de compañías sometidas a FISA y EO 12.333, es decir, empresas de comunicaciones electrónicas)

• ¿Qué se considera una empresa de comunicaciones electrónicas?
No existe un listado completo de proveedores de EEUU que estén sometidos a estas normas. Hay empresas más y menos transparentes al respecto. Algunos ejemplos de empresas sometidas a estas obligaciones son: AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (anteriormente Oath & Yahoo), Verizon.
La mayoría de los proveedores cloud entran dentro de la definición de “proveedor de servicio de comunicaciones electrónicas”, que engloba: los proveedores de servicios de computación a distancia, de comunicaciones electrónicas, empresas de telecomunicaciones y cualquier otro proveedor de servicios de comunicación que tenga acceso a comunicaciones por cable o electrónicas, ya sea cuando transitan o cuando se almacenan.

• ¿Qué significa en mi día a día?
Casos corrientes que pueden conllevar transferencias de datos a EEUU afectados por la sentencia: Empresas americanas que tienen filiales en la UE (Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo, etc.) o que utilizan almacenamiento en la nube allí (la mayoría de negocios europeos).
Casos no afectados por la sentencia, que incluyen transferencias “necesarias” y que siguen siendo legales: Algunas transferencias “necesarias” (como cuando se reserva un hotel), o cuando se ha dado el consentimiento libre y específico (que puede retirarse en cualquier momento sin consecuencia negativa alguna) tras ser informado sobre las normas estadounidense.

    • Reservar un hotel u otro tipo de alojamiento directamente en los EE.UU. o a través de una agencia de viajes en la UE (por ejemplo, una habitación en San Francisco);

    • Reservar un vuelo a los EE.UU;

    • Reserva de un coche de alquiler en los EE.UU;

    • Pedir mercancías en línea a una empresa con sede en los Estados Unidos;

    • Utilizar los servicios en línea proporcionados por una empresa con sede en los Estados Unidos (sin establecimiento en la Unión Europea);

    • Enviar un correo electrónico a los EE.UU;

    • Enviar sus datos a su abogado en los EE.UU. en el contexto de una demanda;

    • Contactando a un amigo de Facebook que está ubicado en los EE.UU;

    • Videollamadas a los EE.UU.

Formularios para empresas para averiguar si ellos o sus proveedores/colaboradores están sometidos a esta nueva situación jurídica
• Solicitud a importadores de datos americanos si aún se utilizan cláusulas contractuales tipo: https://noyb.eu/files/CJEU/EU-US_form_v3.pdf (en inglés)

• Solicitud a responsables en la UE pero que tienen lazos con EEUU:
https://noyb.eu/files/CJEU/EU-EU_form_v3.pdf (en inglés)

 

Otra información de interés
https://noyb.eu/en/next-steps-eu-companies-faqs
https://noyb.eu/en/next-steps-users-faqs
https://www.aepd.es/sites/default/files/2020-08/faqs-sentencia-SCHREMS-II-es.pdf