En julio de 2020, el Schrems II La decisión interrumpió el flujo de transferencias transfronterizas de datos entre la UE y los Estados Unidos, invalidando efectivamente el tratado UE-EE.UU. Marco del Escudo de Privacidad.
La decisión ha obligado a las empresas a recurrir a otros mecanismos legales, como las cláusulas contractuales estándar (SCCs), para transferir datos.
Las secuelas de Schrems II
Adelantándonos al presente. Apenas han transcurrido unas semanas del nuevo año, y ya se han dictado dos decisiones importantes tras la sentencia Schrems II. Las nuevas decisiones fueron emitidas por la Autoridad Austriaca de Protección de Datos (APD) y el Supervisor Europeo de Protección de Datos (SEPD).
Uno de estos casos fue el primero de una serie de 101 quejas coordinadas que fueron presentadas por NOYB (No es asunto tuyo) — la empresa fundada por Max Schrems, el abogado austriaco en el centro del caso titular — después de Schrems II.
En La DPA austriaca concluyó que un sitio web de salud con sede en Austria había transferido datos ilegalmente de la UE a los EE. UU. mediante el uso de Google Analytics, en violación del Capítulo V del RGPD.
El segundo caso también formó parte de la serie de 101 quejas coordinadas que NYOB presentó. En este caso, el SEPD Se determinó que el Parlamento Europeo había infringido la sentencia Schrems II sobre transferencias de datos entre la UE y EE. UU. La infracción se produjo mediante el uso de Google Analytics y cookies de la empresa de procesamiento de pagos Stripe en un sitio web creado por esta para programar pruebas de COVID-19.
Una de las principales conclusiones de estas dos decisiones es que, tras la sentencia Schrems II, ahora existen directrices claras sobre el uso de analíticas y cookies en la UE. Si bien la autoridad de protección de datos austriaca publicó una guía sobre el uso correcto de Google Analytics en 2017-2018, esta fue anterior a la sentencia Schrems II y, por lo tanto, está obsoleta.
La Autoridad de Protección de Datos de los Países Bajos también emitirá próximamente una decisión sobre un caso similar al de Austria. Por consiguiente, podemos esperar una versión actualizada de la guía de Google Analytics para los Estados miembros de la UE.
Google Analytics y transferencias transfronterizas
El Comité Europeo de Protección de Datos (CEPD) creó un grupo de trabajo en 2020 para coordinar las decisiones en estos dos casos. El grupo seleccionó estos casos intencionalmente debido a cómo y con quién procesaban los datos los sitios web involucrados.
Si bien ambos sitios web utilizaban Google Analytics, ninguno contenía elementos transfronterizos evidentes, lo que garantizaba que las supuestas transferencias se quedaran en la zona de residencia de la parte que presentó la denuncia. Esto también contribuyó a que los casos tuvieran conclusiones similares, lo que refuerza la probabilidad de fallos similares en futuros casos.
Los resultados de estos casos contradicen la teoría del enfoque basado en el riesgo, legado de la decisión Schrems II. Esta teoría se aplicó caso por caso, sopesando si los hechos de un caso individual interesarían lo suficiente a una agencia estadounidense como para vigilar y acceder a los datos transferidos desde la UE.
Después de estos casos, los hechos de un caso individual ya no importan. Sólo que NO se deben transferir datos de la UE a los EE. UU. si existe ALGUNA posibilidad de que el gobierno de los EE. UU. pueda obtener acceso a esos datos. Este hallazgo es relevante para todas las transferencias transfronterizas de datos entre la UE y los EE. UU. y afecta a cualquier transferencia que cumpla con los requisitos de Artículo 46 del RGPD.
Cookies y datos personales
La Autoridad de Protección de Datos (APD) y el SEPD austriacos detectaron que se procesaban datos personales mediante cookies de Google Analytics y Stripe instaladas en sitios web. Tras un análisis exhaustivo, la APD austriaca concluyó que, al combinar los números de identificación generados por las cookies con otros elementos, como una dirección IP, dicha combinación podría dar lugar al procesamiento de información personal mediante el uso de cookies.
En el segundo caso, el Parlamento Europeo argumentó que las cookies de Stripe estaban inactivas y que su único propósito era facilitar el procesamiento de pagos, no las pruebas de COVID-19. El SEPD concluyó que No importa si una cookie está activa o inactiva, siempre que se coloque el número de identificación para marcar al usuario final.
Por lo tanto, si una empresa con sede en EE. UU. coloca una cookie en un sitio web controlado por una entidad de la UE, la acción constituirá una transferencia de datos y se requerirá un mecanismo legal de conformidad con el Artículo 5 del RGPD.
SCC y medidas complementarias
Tanto la Autoridad de Protección de Datos austriaca como el SEPD determinaron que, siempre que se produzca una transferencia internacional de datos entre la UE y EE. UU. basada en las CCT, las partes deben proporcionar "medidas complementarias" además de las CCT. Las sugerencias sobre lo que podrían implicar dichas medidas siguen siendo vagas, ya que no existe documentación, pruebas ni otra información sobre las medidas contractuales, técnicas u organizativas necesarias para garantizar un nivel de protección esencialmente equivalente.
La Autoridad de Protección de Datos austriaca también determinó específicamente que ciertas medidas complementarias podrían ser insuficientes si no eliminan la posibilidad de vigilancia y acceso a datos personales por parte de agencias estadounidenses. Cabe destacar que en ese momento se rechazó oficialmente la teoría del enfoque basado en el riesgo de Schrems II.
Sin embargo, el SEPD aclaró que las transferencias de la UE a los EE. UU. todavía podrían ocurrir en condiciones limitadas, como cuando una entidad puede garantizar que los datos personales están completamente anonimizados.
Finalmente, estos casos demuestran que a veces DSARsLos informes de transparencia, las notificaciones a los consumidores, las tecnologías de cifrado y otras medidas de seguridad podrían no ser suficientes para evitar la posibilidad de vigilancia y acceso a los datos por parte del gobierno estadounidense. En algunos casos, como el interpuesto contra el Parlamento Europeo, la suspensión total de las transferencias se considera conforme al RGPD y a la sentencia Schrems II.
¿Qué sigue en materia de transferencias transfronterizas de datos?
Google está recurriendo a importantes iniciativas de cabildeo en la UE, una medida que ha suscitado cierto escepticismo. El tiempo dirá si resulta ser una iniciativa rentable o un esfuerzo infructuoso.
Se espera que las autoridades de protección de datos de varios Estados miembros de la UE —incluidos Chipre, Malta, Polonia y Rumania— emitan una oleada de decisiones en el futuro cercano, que probablemente sean similares a estas decisiones recientes.
Un posible problema que podría surgir de tales decisiones podría incluir la suspensión de todas las transferencias de datos entre la UE y EE. UU. Omer Tene, socio de Goodwin Procter e investigador principal de la IAPP, reflexionó que «la decisión ensombrece cualquier método concebible de transferencia legal de datos entre los continentes», y añadió que tendrá «implicaciones de gran alcance».
Por ahora, las entidades que utilizan empresas estadounidenses con fines analíticos deben abordar cada escenario con cautela y tener en cuenta que incluso la mera posibilidad de un número de identificación de cookie constituirá una infracción, ya que se considera información personal que conlleva una huella digital única. Esto aplica independientemente de si una dirección o número IP está truncado o inactivo. Estas medidas no eliminan la posibilidad de tácticas de vigilancia en EE. UU.
Cómo BigID ayuda con las transferencias de datos transfronterizas
BigID ayuda a las organizaciones identificar, administrar, y monitorear todo datos personales y sensibles Actividad, incluidas las transferencias de datos transfronterizas. Con BigID, las organizaciones pueden:
- Informar y monitorear intercambio de datos con terceros
- Detectar transferencias de datos transfronterizas que no cumplen con las políticas
- Etiquetar y rotular datos para fines legales
- Atributos de datos de etiquetas Basado en la residencia del interesado para transferencias intraempresariales
- Técnicas de anonimización para medidas complementarias necesarias
Comprender sus reservas de datos —por ejemplo, saber dónde se almacenan los datos personales y poder vincular su ubicación a una identidad— es un excelente punto de partida para las empresas que puedan necesitar responder a raíz de estos casos de transferencias transfronterizas en la UE. Programe una cita. Demostración de BigID para saber más.