El GDPR y el tratamiento de los datos de los usuarios: los efectos en las empresas europeas

Blog

Febrero 17, 2022

El GDPR y el tratamiento de los datos de los usuarios: los efectos en las empresas europeas
Desde hace unos años, oímos hablar del GDPR (Reglamento General de Protección de Datos), el Reglamento 679 de 2016 de la Unión Europea, que regula el tratamiento y la circulación de los datos personales.
Es uno de los textos más respetuosos con la privacidad. Por el contrario, fuera de Europa, las empresas pueden tratar estos datos sensibles con normas menos estrictas.
Esta elección se hizo para proteger a los usuarios individuales, pero está teniendo repercusiones en las empresas que operan online, especialmente las que necesitan exportar datos fuera del viejo continente, sobre todo a Estados Unidos. 
De hecho, es allí donde se encuentran las sedes y los servidores de los motores de búsqueda más importantes, las herramientas de análisis y las redes sociales: todas ellas herramientas fundamentales para la promoción de los negocios.  
Para mantener sus negocios intactos y, al mismo tiempo, evitar infringir la ley e incurrir en sanciones, las empresas han tenido que buscar nuevas formas de sacar sus datos del Espacio Económico Europeo (EEE, es decir, los países de la UE más Islandia, Noruega y Liechtenstein). 

Veamos los efectos del GDPR en las empresas y cómo pueden mantener relaciones estratégicas con países no comunitarios en 3 pasos, con la ayuda de Verónica Comito, asesora legal de Go Global Ecommerce.

¿Cómo hemos llegado al GDPR y a esta garantía?


¿Cómo hemos llegado a la formulación de estas normas garantizadas? Esta es una pregunta que seguramente se han hecho muchos empresarios con actividades online y profesionales de la información.
Todo se desencadenó por el recurso de un activista de la UE, Maximiliam Schrems, que llevó al Tribunal de Justicia a dictar la llamada Sentencia Schrems en 2015, declarando que las transferencias de datos a Estados Unidos son ilegales porque aquí no se mantienen las mismas garantías que en el espacio comunitario.
Esto dio lugar al Escudo de la Privacidad, un acuerdo sobre un mecanismo de certificación reconocido por todos los países miembros. Si el proveedor estadounidense (o cualquier otro país) al que se transfieren los datos cuenta con la autocertificación exigida por el Escudo de Privacidad, la transferencia se considerará conforme.
En un principio, parecía que también podrían utilizarse las Cláusulas Contractuales Tipo (CCT) elaboradas en 2010, pero Schrems señaló que, en virtud del artículo 702 de la FISA y de la Orden Ex 12333 del Código de los Estados Unidos, las autoridades de ese país pueden adquirir datos en custodia o incluso sólo procesados por cualquier "proveedor de servicios de comunicación electrónica" con fines de seguridad nacional y sin que el interesado pueda oponerse o recurrir.
Esto condujo en julio de 2020 a la Sentencia Schrems II, que dictaminó que el Escudo de Privacidad era ilegal. 

"Las cláusulas contractuales tipo se "salvan", pero el Tribunal señala que, a la luz de las conclusiones de Schrems, las cláusulas contractuales tipo pueden no ser suficientes por sí solas para garantizar un nivel de protección de datos equivalente al de la UE y, por tanto, legal. Siguiendo esta línea de interpretación, en Enero de 2022, el garante de la privacidad austriaco declaró ilegal el uso de las herramientas de Google Anlaytics", explica la abogada Comito.

El impacto en las empresas y el tráfico de datos

 
Según el Tribunal de Justicia de la Unión Europea, el nivel de protección de la intimidad exigido en Europa no lo cumple ninguno de los países no pertenecientes al EEE, lo que puede hacer que las transferencias de datos no sean conformes. 
En particular, en EE.UU. todos los "proveedores de servicios de comunicación electrónica" (proveedores de servicios de computación a distancia o de comunicación electrónica; transportistas de telecomunicaciones; todos los funcionarios, empleados o agentes de dichas entidades) están sujetos al control de las agencias de seguridad (como la CIA). Esto significa que la transferencia de datos "pura y dura", es decir, sobre la base de las antiguas certificaciones adoptadas tras el escudo de privacidad, a este país ya no cumple con las garantías del GDPR, porque el estándar de protección no es equivalente al de la UE.
Esto significa que cada vez que una empresa estadounidense pide a sus socios europeos que envíen datos, deben realizarse las comprobaciones pertinentes.

"A esto hay que añadir que, al declarar ilegítimo el Escudo de Privacidad y al declarar insuficientes los CCE, el TJUE no ha previsto ningún periodo de gracia o de transición. Por lo tanto, existe el riesgo de que las transferencias de datos fuera del EEE se conviertan en ilegales de la noche a la mañana", continúa Comito.

¿Cómo transferir datos a países no pertenecientes al EEE sin infringir la ley?

Esto no significa, que para seguir siendo legal haya que romper todas las relaciones con los países de fuera de la UE (lo que obviamente sería imposible y contraproducente para la propia UE).

"Las transferencias de datos fuera del EEE siguen siendo posibles sin limitaciones especiales en determinados casos excepcionales previstos en el artículo 49 del RGPD, basados en el consentimiento informado del usuario y en la necesidad de la ejecución del contrato. - La abogada Verónica Comito explica - Sin embargo, lamentablemente, la JEPD (Junta Europea de Protección de Datos) ya ha especificado que esto no es factible si la transferencia tiene lugar a gran escala o de manera regular o sistemática. Esto significa que, a menos que su negocio sea casi totalmente nacional o continental, es muy difícil que entre en esta exención".

Por lo tanto, estos supuestos excluyen a todas las empresas que realizan cross-border eCommerce. En este caso, debe realizarse una comprobación caso por caso de los flujos de información y los acuerdos con los socios.
Se puede seguir este esquema:

1. Reconocimiento de las transferencias y herramientas relacionadas

Crear una lista de socios y proveedores de servicios ubicados fuera del EEE, incluidos los responsables del tratamiento de datos en virtud del artículo 28 del RGPD. Asegurarse de que el acuerdo deja al responsable del tratamiento libertad para transferir los datos y compruebe cómo.

2. Comprobar el contrato y los posibles acuerdos de transferencia

Este es quizás el paso más complicado. Examinar el contrato con los socios para buscar cualquier acuerdo o cláusula de transferencia de datos. Preguntar por la legislación vigente en el país donde se van a transferir los datos. Si el nivel de protección de datos garantizado es equivalente al de la UE, la transferencia puede seguir adelante. Si no es así, un tercer paso es la identificación y aplicación de medidas adicionales.

3. Medidas adicionales

Sirven para que la transferencia de datos a un socio de fuera del EEE sea conforme si la legislación local o las cláusulas contractuales por sí solas no son suficientes. Sin embargo, se trata de un tema muy reciente y en evolución, por lo que se deberá mantener constantemente actualizado en los próximos meses. Estas medidas adicionales pueden ser de diversa índole:

a. Medidas de carácter técnico:

El artículo 46 del RGPD establece determinadas garantías para la transferencia a terceros países u organizaciones internacionales, siempre que se garantice el derecho de recurso judicial del interesado. Si se carece de ella, como en el caso de Estados Unidos, hay que proporcionar otras. La JEPD dio algunos ejemplos: el cifrado y la seudonimización están bien, pero no la transferencia a proveedores de servicios en la nube que requieren los datos en texto claro y el acceso remoto con fines comerciales.

b. Medidas contractuales:

Incluir obligaciones de transparencia en los contratos; proporcionar información y estadísticas basadas en la experiencia del socio o en informes de diversas fuentes sobre el acceso a los datos por parte de las autoridades públicas; indicar qué medidas se toman para proteger los datos transferidos; especificar cómo se prohíbe legalmente al socio proporcionar la información o, en el caso de una orden de la autoridad para proporcionar los datos, estipular que el socio comercial debe comprometerse con sus abogados para verificar su legitimidad.

c. Medidas organizativas:

Determinar políticas compartidas de gobernanza de datos, procedimientos compartidos para atender las solicitudes de la autoridad y de los interesados, crear un equipo de enlace UE-EEE para reevaluar periódicamente las transferencias, y otras medidas señaladas caso por caso.

"Se trata de un marco normativo en el que sigue reinando la incertidumbre, ya que todavía está en proceso de cambio y se actualiza constantemente. Lo que puedo recomendar a las empresas y, en particular, a las que realizan ventas transfronterizas online, es que sigan el esquema de 3 puntos que hemos esbozado y que se mantengan constantemente actualizados sobre las últimas novedades en la materia, solicitando la asistencia de un abogado si no están seguros de cómo actuar", concluye la abogada Comito.

Para evitar incurrir en sanciones o tomar decisiones que puedan resultar contraproducentes para la empresa, el consejo, al menos en esta primera fase, es contar con el apoyo de socios especializados y con experiencia en transacciones transfronterizas de comercio electrónico, como, por ejemplo, Go Global Ecommerce, que pueden abordar la cuestión desde todos los ángulos.
Esto facilitará la transición al nuevo marco normativo, facilitando la adaptación y aconsejando sobre todos los pasos a seguir.

¡Compártelo!: