La invalidez del Escudo de Privacidad (también conocido como Privacy Shield), el acuerdo alcanzado en 2016 entre la Comisión Europea y Estados Unidos para la transferencia de datos entre ambas regiones, por parte del Tribunal de Justicia de la Unión Europea en verano de 2020 está dejando ver sus consecuencias dos años después.
Si a comienzos de semana Facebook advertía en un comunicado a la Comisión de Valores y Bolsa estadounidense (SEC) el riesgo de no poder ofrecer en un futuro próximo los servicios de Facebook, Instagram y WhatsApp en Europa si no se adaptaba un nuevo marco de transferencia transatlántica de datos, esta vez la atención se centra en Google y, en concreto, en su servicio de analítica web.
En su última resolución, la Comisión Nacional de la Informática y las Libertades (CNIL, por sus siglas en francés) ha señalado que Google Analytics es ilegal e inseguro y, por tanto, los negocios digitales que empleen dicha herramienta deben dejar de usarlo y optar por una solución alternativa que cumpla con el Reglamento General de Protección de Datos (RGPD). Dichas compañías disponen de un mes para hacerlo.
Según el organismo francés, existen indicios de una posible vigilancia por parte de Estados Unidos sobre los ciudadanos europeos. Y asegura que “la transferencia a Estados Unidos no está suficientemente regulada”.
La sentencia de CNIL llega poco tiempo después de que la autoridad de protección de datos de Austria señalara la ilegalidad de Google Analytics por incumplimiento del RGPD. Al mismo tiempo que el Supervisor Europeo de Protección de Datos amonestaba al Parlamento Europeo por el empleo de esta herramienta.
Nueva norma de privacidad
En julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) falló en contra del acuerdo sellado para la transferencia de datos de ciudadanos europeos a Estados Unidos, el llamado Privacy Shield o Escudo de Privacidad, ya que, según el tribunal, no existe regulación en el país norteamericano que garantice el cumplimiento del RGDP allí.
En su sentencia, para que las compañías estadounidenses y europeas pudieran seguir gestionando la transferencia de datos personales entre ambas regiones, el Tribunal indicaba como alternativa el cumplimiento de las cláusulas contractuales estándares (SCC).
El nuevo modelo de estas cláusulas entró en vigor el pasado 27 de septiembre, lo que obligaba a las marcas europeas a negociar, de nuevo, con sus proveedores estadounidenses estas garantías.
“El panorama es desolador”, comentaba por aquel entonces María Vidal, DPO de FinReg360, durante una sesión virtual organizada por la Asociación Profesional Española de Privacidad (APEP), recordando lo difícil que resultaba acceder a los contratos firmados entre empresas europeas y proveedores estadounidenses para ver las cláusulas correspondientes a la protección de datos personales.
Preguntada acerca de una posible solución, para Vidal, la única factible pasaba por un cambio legislativo en Estados Unidos. País en el que, tal y como recordó la abogada, normas estadounidenses como PISA, suponen una vulneración de la privacidad de los ciudadanos europeos.
“En Europa, las autoridades pueden acceder a cierta información de ciudadanos extranjeros, pero hay una norma procesal que exige tener garantías procesales para solicitar esa información. En Estados Unidos, las autoridades puedan hacerlo sin pasar por esas puertas procesales, y esto es solo para los extranjeros”, indicaba.