Privacy Shield, la pretendida norma de protección de datos equivalente a RGPD, ha sido anulada por el Tribunal de Justicia de La Unión Europea este Jueves 16 de Julio del 2020.
Llevamos 4 años clamando en el desierto, tan solo acompañados por una decena de abogados y especialista en el tema. Cumplir con RGPD, mientras otras aplicaciones USA tan solo tenían que declarar su cumplimiento Privacy Shield, una palabra mágica que les libraba de todo, los situaba sobre el bien y el mal, ha supuesto en todo momento una competencia desleal.
La justicia da la razón a todas aquellas empresas de Internet y de la Nube que llevaban años esperando la anulación de Privacy Shield.
Son muy buenas noticias para todas aquellas aplicaciones y servicios en la Nube que nunca se financiaron con los datos de los usuarios.
Con anterioridad, hemos escrito sobre esto en este Blog:
- ¿Están seguros los datos de mi empresa con Privacy Shield?
- Europa no se fía del Cloud en Estados Unidos. Proyecto Gaia-X.
¿Qué diferencias han existido entre Privacy Shield y RGPD?
Veamos como RGPD (Reglamento General de protección de Datos) es una cosa y Privacy Shield es otra muy diferente.
Privacy Shield es un entorno, que no un reglamento de protección de datos de las empresas de la Nube en los Estados Unidos. La inmensa mayoría de las aplicaciones más populares, que son de empresas residentes en USA, se atienen a las normas de privacidad y protección de datos de Privacy Shield.
Que no nos confundan, en muchas ocasiones vemos en sus webs referencias a RGPD pero se trata de marketing porque el RGPD solo se aplica a aquellas empresas que residen o almacenan datos en Europa. Existen en muchos países de América Latina normas que si son compatibles con RGPD.
Privacy Shield es autoregulado mientras que RGPD es ley.
Pues esta es una de sus características más llamativas.
Las compañías redactan sus normas de protección de datos y se adhieren a un simple listado de empresas que dicen cumplir. Comenzamos a pensar que esto puede ser una tomadura de pelo sin adjetivos para calificarla.
Voy a autoregularme en cuanto a las normas de tráfico. Ahora me monto en el coche, cuando vea una señal de limitación a 80 voy a acelarar hasta 180. En mi autoregulación, que puedo redactar sin problemas y llevarla conmigo, dice que puedo exceder en 100Km/h lo que marquen las señales.
Eso es autoregulación y metafóricamente así funciona Privacy Shield.
Con Privacy Shield. No se firman contratos de protección de Datos
Mientras que por ley, con RGPD hay que firmar un contrato de Tratamiento de Datos por parte de Terceros, con Privacy Shield no hay que hacer absolutamente nada, te encomiendas a la voluntad y buen hacer de un almacenamiento que ha declarado su “buen hacer”. Dogma de fe.
Con RGPD el incumplimiento está regulado y conlleva fuertes sanciones.
Esto es consecuencia de que hay leyes reguladoras de RGPD en todos los países de la Unión Europea. Con Privacy Shield solo cabe esperar que se autoinculpen si han comerciado con los datos de sus usuarios.
En RGPD. La cuantía de las sanciones por una falta grave puede alcanzar el 2 % de la facturación o hasta 10 millones de euros.
Las infracciones muy graves son las que violan derechos y garantías ciudadanas. Esto está considerado en RGPD como consecuencia de una mala praxis en el tratamiento de datos. Aquí entran los que actualmente usan servicios Privacy Shield, pues se envían datos a terceros países (USA). Habida cuenta de que se consideran infracciones muy graves y que desafían los principios de la legislación, las sanciones pueden alcanzar el 4 % de la facturación o 20 millones de euros según el caso.
Con RGPD hay que declarar los lugares de almacenamiento de los datos. Con Privacy Shield no.
Los proveedores de aplicaciones o servicios regulados por RGPD están obligados a declarar los lugares de almacenamiento de los datos. Normalmente en la web del proveedor hay una página dónde se especifican los servicios de almacenamiento y su localización geográfica.
Documento de seguridad. Cifrado de datos en tránsito y en reposo.
Recientemente muchos servicios USA han incorporado el cifrado. Algo que está contemplado en RGPD desde siempre. Para esas aplicaciones USA, ha sido una cuestión demandada por sus clientes, para las empresas europeas una obligación.
En cualquier caso, RGPD también obliga a tener un documento de seguridad del sistema dónde se explican las medidas que toma la empresa.
Registro de seguridad
El RGPD incluye en su articulado la necesidad de mantener un registro de seguridad del sistema, han de anotarse aquellas acciones o incidencias relativas al acceso a datos o vulneraciones de seguridad.
Privacy Shield nunca fue equivalente a RGPD
Observando las diferencias descritas anteriormente es evidente que las normas nunca fueron equivalentes. Se han visto casos que en RGPD hubiesen tenido grandes sanciones.
¿Cumplimos en Dataprius con cada uno de los apartados RGPD?
Pues aquí están punto por punto los requerimientos RGPD:
- Firma de contratos.
- Documento de Seguridad
- Declarar lugares de almacenamiento de los datos.
- Registro de seguridad. La versión 7.4 lo pone incluso a la vista de los usuarios.
- Localización de la Empresa. Al pie de todas nuestras páginas. Dataprius
- Recomendado y obligatorio para algunas empresas: Backups de lo almacenado en otra localización.
- Recomendado. Almacenamiento redundante, por supuesto RGPD.
Dropbox y Drive. Dos aplicaciones populares que se quedan fuera de juego.
Estos dos sistemas de almacenamiento realizan transferencias internacionales de datos hacia territorios de los Estados Unidos.
Dichas transferencias se amparaban en Privacy Shield que ha quedado anulado.
De una forma muy sencilla, en 2016 cuando Privacy Shield tenía validez, esto se explicaba en la web de Ateneu: Alternativas a DropBox y Google Drive (Privacy Shield)
REFERENCIAS:
- La justicia europea anula el ‘Privacy Shield’: los datos personales europeos ya no podrán transferirse a servidores de los EE.UU
- La TJUE invalida el ‘Privacy Shield’, el acuerdo de transferencia de datos entre UE y EEUU
- La justicia europea invalida un acuerdo clave para transferir datos personales entre Europa y EE.UU.
La entrada Anulado Privacy Shield. Cuatro años esperando. se publicó primero en Blog de Dataprius..