La magia tras la transferencia internacional de datos personales... la blanca y la oscura.

¿Qué es una transferencia internacional de datos personales? Para entender la relevancia de un tema como este, debemos entender cómo funciona. Imaginemos que estoy accediendo a un servicio en línea o adquiriendo un bien, para el cual me preguntan mi nombre, mis apellidos y una serie de datos adicionales, hasta ahí todo parece normal, acepto, recibo el servicio o procedo a la compra y soy feliz, todo esto está bien, pero ¿sabemos que pasa detrás del sitio web que pude ver en mi pantalla? Pasa, y pasa mucho.

Lo más probable es que la información que acabas de entregar haya iniciado un largo viaje hasta servidores de uno de los grandes proveedores de servicios de cloud computing, servidores que no están cerca tuyo, ni siquiera en #Ecuador, tus datos acaban de salir de tu país, de tu control.

En esa prestación de servicios ya podemos identificar al menos 3 actores, todos sometidos a al menos 2 normativas diferentes. Primero, el titular de los datos (no voy a usar el término propietario, si eres ecuatoriano, debes comprender que tus datos no son un bien, tus datos son tu propia esencia), luego, en segundo lugar, el responsable del tratamiento, que es la empresa que te prestó el servicio, que puede que si esté domiciliada en Ecuador (como puede que no, y ahí "the plot thickens", pero vamos a dejar el ejemplo de la manera más sencilla, por fines didácticos) y finalmente, un tercero, que es quien presta la infraestructura, que almacena los datos por cuenta (en relación contractual) del responsable, a este último lo llamaremos el encargado del tratamiento. Podemos encontrar más actores, pero nos limitamos a estos tres.

Mientras tus datos se encuentren dentro del territorio nacional, es decir, si los servidores del encargado se encontraran en Ecuador, estaría regulado por el derecho a la protección de datos persona tal como se encuentra establecido en la normativa ecuatoriana, sin embargo, si estos salen fuera del país, la cosas cambia, y se empiezan a regir por la normativa del país dónde se alojan los servidores y, en el mejor de los casos, la empresa cuenta con políticas claras de seguridad de la información y prácticas estrictas, declaradas y aceptadas contractualmente, pero aun así la ley prima sobre el contrato, y esto es importante si ahora queremos entender porque el caso Schrems II suena tanto y gana relevancia en estos días.

Es indudable que el Reglamento General de Protección de Datos Personales ha generado un estándar en materia de protección de datos personales, reconociendo y declarando una serie de principios, derechos y prácticas a seguir, entre esas, regula la transferencia de datos personales de ciudadanos europeos hacia terceros países, y lo hace a manera de descarte:

1. Transferencias basadas en decisiones de adecuación (la más complicada, pero la más útil).- trasferencias a países u organizaciones internacionales que cuentan con un nivel adecuado de protección, declarado por la Comisión.
2. Garantías adecuadas (hay de todo).- la transferencia se autoriza a un tercer país u organización internacional, a falta de la decisión de adecuación, si se ofrecen garantías adecuadas y si los titulares de los datos cuentan con derechos exigibles y acciones legales efectivas. Para estas hay algunos mecanismos, pero recordemos uno, que nos servirá más adelante: cláusulas tipo de protección de datos personales.
3. Normas corporativas vinculantes (mis favoritas y conocidas como Binding Corporate Rules).- Estas no requieren mucha explicación, dado que su nombre las detalla en gran medida.

Ahora bien, hablemos de Max Schrems, el verdadero artífice de dos de los más grandes golpes a la transferencia internacional de datos, de manera especial las transferencias a Estados Unidos, y es que dos casos sentenciados llevan su nombre, siendo el primero el Schrems I, que invalidó el Safe Harbor o Puerto Seguro, y luego, como puede resultar obvio, Schrems II, que invalidó el Privacy Shield o Escudo de Privacidad, y dejó a las cláusulas tipo de protección de datos personales bajo una suerte de espada de Damocles (en lo que transferencia a Estados Unidos se refiere).

Nuevamente, para entender el impacto de la sentencia Schrems II, debemos conocer de qué trata (o trataba) el Privacy Shield. Este era un esquema al que las empresas norteamericanas que ofrecían servicios y trataban datos de ciudadanos europeos se adherían voluntariamente para cumplir con estándares de protección de datos personales y por ende se consideraban adecuados, incluso si el tratamiento se daba dentro del territorio estadounidense. Schrems II acaba con eso, y señala que toda vez que la normativa de Estados Unidos de América supera a las protecciones ofrecidas por este esquema, pudiendo solicitar información transferida desde el Espacio Económico Europeo y almacenada en los servidores de estas empresas las cuales, por ley, están obligados a entregarla, con lo cual no se cumple con el estándar sentado por el Reglamento (estoy tratando de simplificar el tema, no escribo esto para expertos, sino para que todos lo entiendan)

Parecería entonces que las cláusulas tipo son la solución, pero no todo lo que brilla es oro, y es que estas claúsulas aún se encuentran sometidas a la normativa estadounidense, y por ende, siguen sin ser un mecanismo adecuado para transferencias de datos de europeos a Estados Unidos, pero todo depende de la evaluación que se haga por el responsable

¿Afecta esto también a las Normas Corporativas Vinculantes? Todo depende de la evaluación que se realice, igual que en el caso anterior. Otros instrumentos serán evaluados por la European Data Protection Board al amparo de la sentencia.

¿Y ahora?, pues nada, los europeos deben empezar a analizar caso por caso, transferencia por transferencia, dato por dato, que y que no podrían transferir a EE.UU. No es cuestión de repatriar todos los datos, sino de evaluar en detalle cada caso a fin de establecer las mejores acciones. No existe una panacea o una acción generalizada, esto está sujeto a diversas particularidades.

Esto no obstaculiza bajo ningún precepto la actividad comercial o el libre flujo, porque existen muchas y diversas salidas, pero lo que si hace es dejar sentado que la persona está por sobre todo.

¿Cuál ha sido el efecto posterior a esta sentencia? Pues, por un lado, la Autoridad de Protección de Datos Personales con sede en Berlín ha pedido a los responsables de tratamiento de datos personales que detengan la transferencia de datos personales a Estados Unidos; la European Data Protection Board ha liberado un FAQ sobre la sentencia; y seguirán apareciendo pronunciamientos y acciones en el futuro.

Siendo una sentencia como es, no ofrece un plazo para su ejecución (como si lo hizo el RGPD desde su emisión hasta su entrada en vigor), pero es probable que haya un plazo de facto para dar tiempo a que los responsables de tratamiento empiecen a actuar.

Entonces, creo que queda más que claro que Europa ha sentado el estándar más alto en la materia, pero ¿qué importa esto para Ecuador?, pues mucho, porque en este momento se ventila su más ambicioso proyecto de ley orgánica de protección de datos personales, ajustada a la realidad nacional, que constituye el primer gran paso hacia la construcción de un ecosistema digital más que necesario bajo las circunstancias actuales y debemos ver a países que nos llevan más de una década (mucho más) ya tratando temas que en algún momento nos tocará tratar a nosotros, pero sobre todo, nos deja ver lo importante que es colocar a las personas sobre todo, a la hora de diseñar nuestra norma.

Los engañé un poco con el título de este artículo, no hay magia, de ninguna clase, pero si podemos prepararnos contra los artilugios con los algunos pretenden sorprendernos.