Las organizaciones europeas y las instituciones que interactúan habitualmente con los países de la UE se han visto obligadas estos últimos años a adaptarse al nuevo Reglamento General de Protección de Datos o GDPR. Esto ha significado, en muchos casos, tener que transformar sus procesos de protección de datos y privacidad para evitar fuertes sanciones. No ha habido otra alternativa, ya que las transferencias transfronterizas de datos son indispensables en el día a día de las actividades comerciales de entidades y multinacionales, tanto europeas como externas. El problema es que toda esta complejidad se ha intensificado ahora tras la sentencia del denominado caso “Schrems II” y, por ello, quiero tratar de explicar en este artículo qué está ocurriendo, por qué debe importarnos y qué medidas podemos tomar.
La realidad es que Schrems II ha anulado la validez del escudo de privacidad entre la UE y EE.UU. y esto debe preocupar a cualquier empresa que transfiera datos al mercado norteamericano. Ignorar este hecho supondrá incumplir las obligaciones fundamentales del GDPR y conllevará cuantiosas multas. Así que, si el Escudo de Privacidad parece haber muerto, ¿qué deben hacer las empresas que quieran enviar datos a los Estados Unidos?
Lo primero será atenerse a una normativa de privacidad más estricta, realizar una evaluación de riesgos y aplicar las medidas complementarias adecuadas. El Tribunal de Justicia de la Comunidad Europea ya ha subrayado que las Cláusulas Contractuales Tipo (CCT o Cláusulas Modelo), no deben utilizarse como una solución rápida, en plan «marcar la casilla», y que los riesgos tienen que ser analizados por los propios usuarios, lo que en la práctica supone dejar abierta una importante “zona gris”.
Por otro lado, aunque no podemos descartar que en el futuro se desarrollen nuevas versiones del Escudo de Privacidad (Privacy Shield) o el Puerto Seguro (Safe Harbor), es imposible saberlo con total seguridad porque el contexto es cada vez más complejo, con un Reino Unido post-Brexit y nuevos requisitos de privacidad impuestos por países como Suecia, que hacen que el uso de proveedores cloud estadounidenses sea incompatible con las leyes locales. Además, por si toda esta complejidad no fuera poca, actualmente no hay un periodo de gracia efectivo para cumplir con la normativa.
Como comenta IDC, «las organizaciones que confiaban en el Escudo de la Privacidad como único mecanismo para permitir las transferencias transfronterizas de datos tendrán que apoyarse ahora en las cláusulas contractuales estándar de la UE (SCC) o en cualquier otro método disponible para asegurar esas transferencias o paralizarlas inmediatamente. Con una situación económica ya delicada, las empresas no pueden permitirse el lujo de exponerse a más riesgos.»
IDC cree que lo más probable es que se llegue a una situación en la que las transferencias internacionales de datos «prácticamente cesen por completo» y su procesamiento y almacenamiento se haga localmente. Todo ello, con lo que esto supondría para las empresas, frustrando sus proyectos de analítica centralizada, por ejemplo.
Esta situación es un gran quebradero de cabeza para los CIOs, pero van a tener que ser ellos quienes, como especialistas en la gestión de la información, tengan que adaptarse y liderar el cambio, creando nuevos métodos de tratamiento de datos que cumplan con la ley y ayuden a que el libre comercio continúe llevándose a cabo con la mayor normalidad posible.
Una de las soluciones que tienen en su mano es apostar por un modelo de nube inteligente (smart cloud) en lugar de dejarse llevar por las urgencias y el tradicional “cloud first”. De hecho, las empresas que han migrado por defecto a la nube pública serán las que más riesgo corran. Por el contrario, disponer de una propuesta de nube privada o híbrida en la que las cargas de trabajo se puedan asignar a distintas plataformas en función del riesgo, es la solución más obvia para disponer de mayor flexibilidad sin temor a incumplir la normativa.
La situación es compleja pero no se trata de entrar en pánico, sino de actuar con rapidez y siguiendo una lista de tareas básicas entre las que estarían las siguientes:
- Crear un grupo de trabajo que integre a los responsables de seguridad de la información, la privacidad, las TI y las unidades de negocio afectadas.
- Elaborar un mapa de los datos más sensibles y relevantes que se ven afectados y saber dónde se transfieren y a quién.
- Diseñar un plan de acción que cubra tanto el corto como el largo plazo y que tenga en cuenta no solo lo que está sucediendo con Schrems II sino lo que pueda venir más adelante.
- Volver a redactar las políticas de privacidad y mantener abiertas las líneas de comunicación con todas las partes implicadas para demostrar que se ha entendido la importancia de la sentencia Schrems II y que se están tomando medidas.
En concreto, las posibles medidas a tomar deberían incluir una mayor comprensión de los poderes que aplican la ley en los países de destino, soluciones técnicas para mitigar los riesgos (como el cifrado en reposo y en tránsito), soluciones contractuales que definan cómo poner fin a las transferencias y toda una serie de evaluaciones del riesgo y la eficacia de las medidas puestas en marcha.
Al igual que con otras legislaciones de protección de datos, puede que los efectos de Schrems II no sean del todo malos. Los CIOs y CISOs tienen una nueva oportunidad para reafirmar su importancia dentro de la organización. Pero no hay tiempo que perder, el momento de actuar es ahora.
Opinión