Esta ma\u00f1ana, en una Fireside Talk organizada por Privacy Provided, hablamos con Max Schrems, abogado austriaco y activista en materia de protecci\u00f3n de datos, sobre el complejo asunto de la IT empresarial y las redes. Y la conclusi\u00f3n obtenida ha sido que trabajar con proveedores europeos suele ser la soluci\u00f3n m\u00e1s f\u00e1cil y rentable para los usuarios en lo que respecta al cumplimiento del RGPD.<\/p>
La transferencia de datos personales desde Europa a EE.UU. era posible en el pasado a trav\u00e9s de los acuerdos bilaterales de Safe Harbor y, posteriormente, de Privacy Shield. Sin embargo, el Tribunal de Justicia de la UE declar\u00f3 inv\u00e1lidos<\/a> ambos acuerdos a instancias de Max Schrems. El motivo: que el nivel de protecci\u00f3n de datos en EE.UU. no se puede equiparar al de Europa. Desde entonces, muchas empresas europeas han tenido que recurrir a las denominadas cl\u00e1usulas contractuales est\u00e1ndar para justificar una transferencia de datos.<\/p> Seg\u00fan Max Schrems, estas cl\u00e1usulas (tambi\u00e9n las actualizadas en junio de 2021) son, no obstante, mucho m\u00e1s complicadas de utilizar porque, en principio, hay que realizar una evaluaci\u00f3n caso por caso. Sin embargo, si la empresa que recibe los datos en EE.UU. no es un Electronic Communications Service Provider (proveedor de servicios de comunicaciones electr\u00f3nicas), hay menos problemas en el \u00e1mbito de la protecci\u00f3n de datos. Un ejemplo que cita Schrems: si la empresa metal\u00fargica austriaca Voest transfiere datos a su filial estadounidense, tambi\u00e9n dedicada a la metalurgia, el RGPD no se interpone en su camino. Pero puede ocurrir que haya subcontratistas involucrados en EE.UU. que s\u00ed pertenecen al sector de las comunicaciones electr\u00f3nicas.<\/p> Lo que no siempre es f\u00e1cil de evaluar es la situaci\u00f3n de los proveedores estadounidenses con procesamiento de datos distribuidos geogr\u00e1ficamente, como suelen ser aquellos que se dedican a \u00e1reas como el correo el electr\u00f3nico, la seguridad o la distribuci\u00f3n de contenidos. Una de las preguntas que surge aqu\u00ed es si se trata de un procesamiento de datos necesario o inevitable, que est\u00e9 cubierto por el art\u00edculo 49 del RGPD<\/a>. Sin embargo, Max Schrems ve claro que, incluso si los proveedores de servicios en la nube de EE.UU. utilizan sus centros de datos en Europa, esto no protege los datos almacenados all\u00ed contra el acceso a trav\u00e9s de la Ley FISA, porque esta ley no tiene limitaciones geogr\u00e1ficas. Solo los datos a los que el propio proveedor no puede acceder est\u00e1n a salvo, como ser\u00eda por ejemplo el caso de una copia de seguridad cifrada y almacenada en la nube, a la que no hubiera un acceso local a las claves.<\/p> En general, desde el punto de vista de Max Schrems, las leyes estadounidenses y europeas son diametralmente opuestas en materia de protecci\u00f3n de datos, y, b\u00e1sicamente, esto solo podr\u00eda solucionarse cambiando las leyes. En la UE, se tratar\u00eda de la Carta de los Derechos Fundamentales, por lo que una revisi\u00f3n ser\u00eda altamente improbable. A medio plazo, m\u00e1s bien se podr\u00eda esperar un debilitamiento de las leyes de vigilancia estadounidenses FISA y CLOUD Act (las cuales, por cierto, tambi\u00e9n podr\u00edan estar legitimando el espionaje industrial).<\/p> Casualmente, una notificaci\u00f3n de ayer de Bloomberg<\/a> tambi\u00e9n coincide con esta postura. El alto directivo y abogado de Microsoft, Brad Smith, se ha quejado de que las convocatorias secretas de empresas de tecnolog\u00eda estadounidenses destruyeron la confianza de los clientes europeos, dificultando as\u00ed los negocios. La semana pasada, los medios informaron de que, durante el mandato de Donald Trump, tanto Apple como Microsoft fueron obligados por las autoridades gubernamentales a divulgar datos de opositores pol\u00edticos al presidente, en cada caso con requisitos de confidencialidad, incluida la prohibici\u00f3n de informar a los afectados.<\/p> Cuando se le pregunt\u00f3 si una empresa europea podr\u00eda trasladar sus obligaciones de protecci\u00f3n de datos a su proveedor de servicios de EE. UU. y, por lo tanto, mantenerse indemne, Schrems dijo que las promesas de conformidad con el RGPD solo se pueden verificar con un gran esfuerzo; hasta ahora nadie lo ha verificado y demandado todav\u00eda. En algunos casos, ya existen los correspondientes seguros de responsabilidad civil, pero son muy costosos y a\u00fan no se ha demostrado su validez. Con los denominados seguros de responsabilidad civil de administradores y directivos, al igual que con los seguros de defensa jur\u00eddica, conviene consultar las cl\u00e1usulas de protecci\u00f3n de datos, ya que pueden estar excluidas (algunas compa\u00f1\u00edas de seguros ya lo hicieron).<\/p> Max Schrems considera realmente necesaria una enmienda del RGPD, entre otras cosas, porque las normativas actuales no prev\u00e9n ninguna diferenciaci\u00f3n seg\u00fan el tama\u00f1o de la empresa. Al fin y al cabo la propia industria es responsable de ello, ya que en su creaci\u00f3n solo participaron las grandes empresas con sus correspondientes departamentos de grupos de presi\u00f3n. Y, definitivamente, nadie en Bruselas desea otra campa\u00f1a de los grupos de presi\u00f3n de la misma envergadura.<\/p> Max Schrems aconseja a las empresas que se sienten inseguras despu\u00e9s de la anulaci\u00f3n del Escudo de privacidad que no lleven su dinero a la industria de la consultor\u00eda legal, sino que cuestionen a sus propios proveedores de servicios y los pongan a prueba. Encontrar\u00e1 aspectos esenciales sobre este tema en nuestro sitio web<\/a>, as\u00ed como un cuestionario<\/a> (PDF) que puede utilizar para analizar a sus proveedores de servicios. \u00abEn muchos casos, la soluci\u00f3n m\u00e1s simple y barata es trabajar con un proveedor de servicios europeo\u00bb, afirma Max Schrems a modo de conclusi\u00f3n.<\/p> ","protected":false},"excerpt":{"rendered":" Esta ma\u00f1ana, en una Fireside Talk organizada por Privacy Provided hablamos con Max Schrems, abogado austriaco y activista en materia de protecci\u00f3n de datos, sobre el complejo asunto de la IT empresarial y las redes. Y la conclusi\u00f3n obtenida ha sido que trabajar con proveedores europeos suele ser la soluci\u00f3n m\u00e1s f\u00e1cil y rentable para los usuarios en lo que respecta al cumplimiento del RGPD.<\/p>\n","protected":false},"author":14,"featured_media":8201,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[66,8],"tags":[3880,3841,3649,3881],"class_list":["post-5822","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-news","tag-datenschutz","tag-dsgvo","tag-max-schrems","tag-privacy-provided"],"acf":[],"yoast_head":"\nCl\u00e1usulas contractuales est\u00e1ndar: un asunto complicado<\/h2>
Diferentes concepciones de la ley<\/h2>
Incertidumbre general<\/h2>
Revise sus proveedores<\/h2>