TRANSFERENCIA INTERNACIONAL DE DATOS PESONALES
EL RGPD COMO NORMA BÁSICA DE PROTECCIÓN DE LOS DATOS EUROPEOS
Europa es el paraíso de la protección de datos personales. Es la consecuencia que se puede extraer de la lectura del Reglamento General de Datos, que articulan un régimen en virtud del cual el dato es propiedad de quien lo ha gestionado y sólo en los casos en los que haya un consentimiento escrito, podrá efectuarse la cesión a terceros. Fuera de esto, todo está prohibido. Lo que obliga a los departamentos de protección de datos de las empresas a hacer una continua tarea de regulación de estas operaciones. Con una correcta regulación, prácticamente todo está permitido.
El problema surge con las transferencias internacionales de datos. Una transferencia que aparece en más circunstancias de las debidas, en la medida en que hay legislaciones que pretenden una aplicación territorial fuera de sus fronteras. Es lo que ocurre, por ejemplo, con Estados Unidos, China o India, entre otros. Cito a dos que son los países originarios de las empresas que controlan los servidores y un tercero, en donde se efectúa una actividad incesante de atención al cliente en relación con los datos. Sobre ello volveré con posterioridad.
¿CUÁL ES EL RÉGIMEN DE LA TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES?
¿Cuál es la regla en estas circunstancias? El artículo 45.1 incluye una regla de equivalencia de protección: “Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica”. Y ciertamente ninguno de los tres países están en la mejor de las circunstancias.
Es preciso tener en cuenta que el RGPD ha tenido en cuenta cuál es la relación entre el tráfico internacional de bienes y servicios y la protección de datos; como se ve en el §101 de su Exposición de Motivos: “Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protección de los datos de carácter personal. No obstante, si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional”.
No hay duda, por tanto, a pesar de que esta regla no se aplique con toda la intensidad que merece.
¿EN QUÉ CIRCUNSTANCIAS PUEDE PRODUCIRSE UNA VULNERACIÓN?
Tres son las circunstancias básicas en donde se puede producir una vulneración de las reglas que acabamos de ver:
1. El primer problema deriva de que el mercado de servidores de datos personales está en manos de empresas de los Estados Unidos, que están sometidos a las reglas de la CLOUD ACT. AWS, Google, Microsoft son las principales empresas que gestionan servidores donde se realiza el almacenamiento y la computación de datos. Es cierto que estas empresas, con la finalidad de mejorar la latencia, han establecido servidores en la Unión Europea. No obstante, hay que tener en cuenta que la legislación estadounidense que impone la obligación de la cesión de los datos tiene una pretensión de ultraterritorialidad, de tal manera que se aplica a las empresas de origen estadounidense, cualquiera que sea la ubicación de los datos. La realidad, además, introduce un segundo factor de riesgo: su funcionamiento en red, con servidores espejo,
Lo paradójico de todo ello es que Gobiernos de todos los países siguen confiando el cloud a las tres compañías citadas con anterioridad en lugar de gestionar un cloud propio. Sólo el Gobierno francés prohibió la utilización del Microsoft 365 precisamente por el riesgo que había de fuga de información hacia los Estados Unidos.
2. El segundo problema deriva del mercado de atención al cliente, lo que afecta a cualquier supuesto en el que el call center esté extraterritoiralizado, ya sea el propio servicio de cloud ya sea de otros servicios, como los de telecomunicaciones.
En este caso, las personas que están situadas en terceros países acceden a los datos con la finalidad de arreglar cualquier problema que pueda existir. India es el principal país. Esta operación entraría dentro de lo que es un tratamiento de datos personales, de acuerdo con el RGPD: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
En estos casos, hay que operar a través de mecanismos que garanticen la seudonimización de los datos personales, esto es efectuar “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.
3. Los dispositivos móviles que utilizamos a diario, constituyen una fuente de transferencias internacionales de datos que son imperceptibles para el titular del dispositivo. Es cierto que no pensamos en ello a diario, no nos cuesta dinero y no nos ocasiona daños… salvo cuando tenemos una sensación total de desnudez porque a renglón seguido de hablar sobre un determinado tipo de producto el correo electrónico y la publicidad de las webs se llena de anuncios generados por Google sobre este producto.
De toda la actividad que ha desarrollado la Unión Europea en relación con los datos personales, es éste el gran agujero de fuga de nuestros datos personales. Un problema especialmente grave, teniendo en cuenta que todos nuestros datos pasan por el móvil. Datos de salud, fotografías, geoposicionamiento, datos financieros….todo aquello que es de interés.
UNA CONCLUSIÓN FINAL
Por ello, a la hora de examinar un contrato, no basta con que se diga dónde está el servidor sino hay que dar un paso más y concretar cuál es la legislación aplicable a ese servidor, que en multitud de casos no será sólo la del lugar donde radique. No es suficiente ver el ejemplo de terceros sino que hay que ser especialmente diligente. No sólo porque la Agencia Española de Protección de Datos es especialmente vigilante (y sancionadora) sino porque lo que está en juego es el derecho fundamental a nuestros datos personales, tal como lo describió el Tribunal Constitucional.