¿Quién no ha utilizado Dropbox, Google Drive o We Transfer para enviar imágenes o carpetas de documentos pesados en su trabajo? ¿Cuántas empresas utilizan aplicaciones como Mailchimp para diseñar su newsletter?

Son muchas las entidades -empresas, pymes y autónomos, fundaciones, ONG- que utilizan estos medios de almacenamiento digital y de difusión masiva de correos electrónicos en su día a día. Lo que muchas no saben es que están radicados en Estados Unidos y que esto tiene implicaciones y riesgos legales en materia de protección de datos.

Para aclarar un poco el panorama y los roles, es necesario señalar que la pyme, organización o autónomo que utiliza estos medios tiene el rol de “responsable de tratamiento” de los datos personales.

Y cada vez que “sube” información de terceros a estas plataformas estaría realizando una transferencia internacional de datos, tal como lo define el Reglamento General de Protección de Datos (RGPD). Y, para cerrar el círculo, las empresas como Google Drive, Microsoft One Drive o Dropbox, serán los “encargados de tratamiento” de dichos datos personales.

Por otra parte, el RGPD o la normativa española no indican nada específico sobre el almacenamiento en la nube, ni sobre plataformas de email marketing ni de trabajo digital colaborativo.

El fin del Escudo de Privacidad

Pero sí aclara que el responsable de tratamiento sólo elegirá un encargado del tratamiento de datos personales que ofrezca garantías suficientes en materia de protección de datos; es decir, el responsable debe confirmar que el encargado es originario de un país donde se garanticen niveles de protección de datos similares o superiores a los de la Unión Europea (UE). Y de su falta de diligencia -se sobreentiende- se derivarán responsabilidades.

Todo esto estaba solucionado hasta hace pocos meses, cuando en las relaciones entre la Unión Europea y los Estados Unidos regía un marco normativo conocido como Escudo de Privacidad. Pero desde que se publicó la Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, también denominada Scheme II, este “Escudo” ha quedado invalidado.

Como solución, el RGPD prevé que para una transferencia internacional de datos entre distintas entidades, se puedan pactar CCT o Cláusulas Contractuales Tipo -SCC, las siglas en inglés de Standard Contractual Clauses-. Pero la citada sentencia también alude a las CCT.

Por una parte, dice que aunque estas cláusulas sean aplicables al exportador y al importador de los datos, no son vinculantes para un tercer país (en este caso, para Estados Unidos).

Por otra, que no hay garantías ni protección equivalentes al art. 52 de la Carta de los Derechos Fundamentales de la Unión Europea en caso de cualquier injerencia de programas de vigilancia, como las que puede realizar el Gobierno estadounidense en virtud de la USA Patriot Act de 2001.

¿Consentimiento del usuario?

En tercer lugar, el Tribunal de Justicia de la Unión Europea considera que la comunicación de datos personales a un tercero, como una autoridad pública, supone una injerencia en los derechos fundamentales que protegen los artículos 7 y 8 de la Carta, sea cual sea la utilización posterior de la información comunicada. Y, por último, indica que en Estados Unidos no hay un órgano equivalente a los existentes en la UE que permita a las personas recurrir y contar con garantías sobre sus datos personales transferidos a ese país.

Por otra parte, y reforzando esta idea, el EDPB (Comité Europeo de Protección de Datos o, en inglés, European Data Protection Board) también se ha pronunciado sobre la situación legal de Estados Unidos en materia de privacidad: "el Derecho estadounidense (…) no garantiza un nivel de protección sustancialmente equivalente” de la normativa europea de protección de datos".

En definitiva, que un proveedor estadounidense de este tipo de servicios cuente con unas Cláusulas Contractuales Tipo no da seguridad de estar contratando a un encargado de tratamiento que cumpla con todas las garantías que exige el Reglamento General de Protección de Datos.

Pongámonos en el caso de que el usuario nos lo permite: ¿qué ocurriría si el titular de los derechos consiente en que se produzca una transferencia internacional? El RGPD considera que el consentimiento de los titulares de los derechos solo sería suficiente si lo ha hecho de forma explícita y tras haber sido informado de los posibles riesgos que entraña la inexistencia de garantías adecuadas.

Además, la transferencia debe cumplir una serie de requisitos y solo se podrá llevar a cabo si no es repetitiva; si afecta a un número limitado de interesados; si es necesaria a los fines de intereses legítimos imperiosos del responsable del tratamiento, pero solo si no prevalecen los intereses o derechos y libertades del interesado; si el responsable del tratamiento evaluó correctamente todas las circunstancias relacionadas con la transferencia y ofreció garantías apropiadas para la protección de datos.

Las alternativas

Por otra parte, el responsable del tratamiento está obligado a informar tanto a la autoridad de control como al interesado de los intereses legítimos que le mueven a realizar dicha transferencia internacional.

Dentro de las empresas que prestan estos servicios, podemos decir que Microsoft se convirtió en el primer proveedor cloud en trabajar con las autoridades europeas de protección de datos para la aprobación de las cláusulas modelo europeas, fue pionera también en adoptar nuevos estándares técnicos para la privacidad en la nube, y firmes defensores del GDPR desde su primera propuesta en el año 2012.

Otras soluciones nube aún no se han adecuado a la Normativa Europea, a pesar de que en sus páginas web traten sobre dicha adecuación. Por ejemplo, Google y Dropbox -entre otras- no hacen referencia a la realidad vigente tras la STJUE 16/7/2020 en sus términos y condiciones sobre transferencia internacional, y la impresión que ofrecen es que siguen sin adecuarse.

Ante este panorama, una alternativa real es la de que el prestador de servicios, aunque sea de origen estadounidense, tenga ubicados los servidores, la sede, etc. en territorio de la Unión Europea, por lo que tendría que cumplir la legislación europea.

Otra solución es la de la anonimización de los datos, de tal modo que no se aporten datos personales –y ya no se esté sujeto a las normas del RGPD- y solo se aporten números que no tengan referencia con personas identificables (puede consultarse en este sentido la Guía publicada por la Agencia Española de Protección de Datos (AEPD) en 2016, y revisada en 2019, sobre la anonimización de datos personales).

Si la pyme, el autónomo, la asociación u ONG quiere seguir utilizando este tipo de servicios de prestadores de Estados Unidos, será imprescindible contar con el consentimiento informado y expreso de los interesados. También estar al corriente de las comunicaciones que haga sobre esta materia la UE y también de las medidas que vaya adoptando el proveedor, estudiando pormenorizadamente su política.

En estos casos concretos, será imprescindible que el Delegado de Protección de Datos o el bufete que asesore a la entidad en materia de privacidad lleve a cabo auditorías periódicas para detectar posibles cambios y analizar el impacto legal de los mismos.

***Alejandro Álvarez Serrano es abogado del Bufete Mas y Calvet, especialista en privacidad y protección de datos.