En BigIDeas en movimientoMatt Getz, abogado de privacidad y cumplimiento de Boies Schiller Flexner LLP y ex árbitro del Marco del Escudo de Privacidad UE-EE. UU., analiza las amplias implicaciones de la decisión del Escudo de Privacidad, además de su trabajo en Brown vs. Google, el próximo caso de demanda colectiva en "modo incógnito" que ya encabeza los titulares.
Lo que la decisión Schrems II realmente significa para la privacidad de datos
El 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) anuló el Escudo de Privacidad UE-EE.UU., un acuerdo entre Estados Unidos y la Unión Europea sobre cómo las empresas estadounidenses manejan los datos personales de los usuarios de la UE, calificando las protecciones estadounidenses de “inadecuadas” en el marco del acuerdo.
La decisión, comúnmente denominada "Schrems II" por ser resultado del fallo de Facebook contra Schrems, tiene amplias implicaciones para la transferencia transfronteriza de datos. "Francamente, si llevamos esto hasta sus últimas consecuencias", predice Getz, "transferencias masivas de datos “Los viajes a Estados Unidos se van a volver muy, muy difíciles”.
Antes de la decisión histórica de revocar el Escudo de Privacidad, que más de 5.000 empresas de la UE utilizaban al transferir datos personales a EE. UU., habían surgido "muy pocas" disputas relacionadas con el Escudo de Privacidad, y la Comisión Europea le había dado constantemente "informes entusiastas", dice Getz.
“De hecho, el programa, me pareció, funcionó bastante bien desde el punto de vista de interesadosNo hubo muchos problemas importantes, por eso creo que la decisión de Schrems II es tan interesante en muchos sentidos.
La reacción del “pollo sin cabeza” ante Schrems II
Sea efectivo o no, muchas señales sugerían que el Escudo de Privacidad podría estar en auge. «El programa Escudo de Privacidad se ha enfrentado a muchas críticas desde su inicio. Algunas ONG se opusieron, los tribunales irlandeses no lo aprobaron y, por supuesto, el Sr. Schrems se opuso».
Aunque Schrems II no invalidó Cláusulas contractuales estándar (SCC) del Escudo de privacidad, generó mucha incertidumbre respecto de qué “medidas complementarias” y “salvaguardias adicionales” podrían ser necesarias en el futuro para proteger los datos que se mueven entre la UE y los EE. UU.
Las autoridades de protección de datos y el Comité Europeo de Supervisión de la Protección de Datos experimentaron una reacción algo descerebrada ante la sentencia Schrems II. En cuanto a «qué deben hacer los responsables del tratamiento de datos y los exportadores en relación con las cláusulas contractuales tipo, nadie sabe realmente qué significa eso ni qué se supone que deben hacer ahora», afirma Getz.
Todos dijeron: "Agradecemos la decisión. La estamos considerando y les diremos qué deben hacer". Eso me indica", dice Getz, "que también se sorprendieron y no contaban con planes de contingencia".
¿Qué puede hacer una empresa de la UE mientras tanto?
Si bien la decisión sobre el Escudo de Privacidad entra en vigor de inmediato, Getz cree que las empresas de la UE probablemente puedan esperar "mucha libertad y margen de maniobra en términos de aplicaciónCreo que los partidos dejarán que la gente empiece a decidir qué hacer y no tomarán medidas inmediatas.
Mientras tanto, más vale prevenir que curar, como suele ser el caso. en materia de privacidad de datos.
Creo que lo primero que deben hacer quienes no lo hayan hecho es realizar una auditoría y determinar exactamente qué datos han estado enviando a través del Escudo de Privacidad, y si existen otras maneras de hacerlo. Determinar qué otras medidas pueden utilizar: si la anonimización o la seudonimización funcionan.
En términos de preparación para las medidas suplementarias y salvaguardias desconocidas que se avecinan, “es necesario que las empresas, los controladores y los exportadores realicen auditorías y revisiones periódicas de Exactamente qué está pasando con sus datos y dónde están.
“La gente va a tener que mirar más de cerca y dedicar un poco más de tiempo y recursos a... evaluar qué datos se están transmitiendo."
Si bien todas las miradas están puestas en cómo esto afecta a los datos transferidos a Estados Unidos, "si se toma esta decisión hasta sus conclusiones lógicas", dice Getz, "me parece que casi cualquier transferencia a gran escala de la UE a un país que no tiene una decisión de adecuación —y recuerde que solo hay unos 12 países que tienen decisiones de adecuación— cualquiera de ellos probablemente sería en violación de las reglas."
Brown vs. Google: ¿Qué tan privado es el modo privado?
Además de su trabajo en el Escudo de Privacidad, Getz también forma parte del equipo legal de Caso Brown contra Google, una demanda colectiva de California que se relaciona con las actividades de procesamiento de datos de Google cuando las personas navegan en modo privado o “incógnito”.
“El mensaje es que casi todos los que han estado navegando de forma privada (y creen que lo están haciendo) en realidad no lo han hecho porque Google ha estado recopilando, usando y almacenando los datos”.
Google afirma que no rastrea sus datos cuando navega en modo de incógnito, pero "debido a la forma en que funcionan Google Analytics y Google Ad Manager, porque están integrados en los sitios web de más de 70% de todos los editores, si mientras navega en privado, visita una página que tiene Google Analytics y Google Ad Manager en ella, como el New York Times, el Washington Post, BuzzFeed, Reddit; están por todos lados, entonces Google en realidad está recopilando, procesando y almacenando datos de los usuarios.
“Y [Google] conserva esos datos y hace cosas con ellos, aunque la gente piense que Google no los está tomando. Creemos que esto es una violación de la Leyes de privacidad de California."
Aunque el caso está "en sus primeras etapas" y Google ni siquiera ha tenido que responder aún, las implicaciones de perseguir a un gigante de Internet como Google pueden dejar en claro que "si la gente va a actuar, tendrá que hablar", dice Getz.
Escuchar el podcast para obtener más información sobre las predicciones de Getz para Schrems II y Brown vs. Google.
Autor
