RGPD

El éxodo de Meta de Europa

meta-exodo-europa

Ha sido la noticia estrella hace apenas dos semanas. Meta (Facebook) o en otras palabras el archiconocido Mark Zuckerberg, anunciaba que su tecnológica se va de Europa. ¿El motivo? La derogación en 2020 del llamado Escudo de Privacidad que regularizaba las transferencias internacionales de datos entre Europa y EEUU y que con su eliminación consigue que el flujo de datos entre el continente europeo y EEUU no sea acorde a la normativa vigente, y por tanto, se consideren transferencias prohibidas.

¿Por qué este anuncio de Meta ahora?

Podríamos preguntarnos por qué Meta hace este anuncio ahora, cuando la sentencia que origina este nuevo escenario es de julio de 2020…  la verdad es que el anuncio se ha percibido más como mecanismo de presión a la Unión Europea que otra cosa, entre otros motivos, porque la propia Meta, a las pocas horas de publicarse la noticia de su marcha del mercado europeo, publicó un desmentido, alegando que, en realidad, su intención no es retirarse de Europa.

Es por esta razón que este anuncio podría considerarse como una forma de tratar de que la UE regule las transferencias de datos de sus usuarios. La realidad es que, cuando se derogó el Acuerdo de Puerto Seguro, que fue el marco original en el que se enmarcaba la legitimidad de las transferencias internacionales, la UE no tardó más que unos meses en establecer uno nuevo, el Escudo de Privacidad. Pero ahora, tras año y medio sin una regulación efectiva, estas empresas necesitan dotarse de unas garantías que no tienen.

Sin embargo, la problemática surge cuando el empleado se va, respecto de los correos recibidos y NO leídos. Ante esta situación, el derecho fundamental al secreto de las comunicaciones predomina y la empresa ya no estaría habilitada a leerlos. En este caso, la pauta de actuación es similar a cuando un empleado está de baja o se encuentra de vacaciones. Se debe configurar una respuesta automática durante un plazo determinado, pidiendo al remitente que reenvíe su correo electrónico a una determinada dirección: su sustituto, dirección genérica del departamento, su superior… No obstante, durante un tiempo prudencial, en función de la relevancia del empleado que haya cursado baja, se podrá acceder a los correos electrónicos ya abiertos y leídos, pero no a los no leídos, para los que se debería llevar a cabo la solución anterior. Pasado dicho plazo, al ser el correo electrónico un dato personal, aunque sea corporativo, y al haber terminado la finalidad para la que fue habilitado, se deberá cancelar ese dato.

La importancia del dato personal

Meta, como otras tecnológicas, depende totalmente de la comunicación de datos transfronterizos. Sin dicho flujo no podría operar con un mercado de 500 millones de usuarios.

En definitiva, Meta se nutre y pervive gracias a información que le ceden gratuitamente sus usuarios y de cómo actúan dentro de sus redes. Sin esos datos, su negocio no sería el mismo. Porque su fórmula para generar ingresos no es poner en contacto a los usuarios, sino el valor económico de los datos que puede conseguir gracias a ellos. Por tanto, le preocupa mucho no poder utilizar los datos de los usuarios europeos.

Y al RGPD le preocupa mucho que esos datos se traten conforme a sus requisitos de legitimidad y seguridad. Y el hecho de que se Meta no disponga de sede europea donde alojar la información, y de que, aún así, la normativa de EEUU, en base a razones de seguridad nacionales, pudiese obligar a la entidad a entregar dicha información, le preocupa más.

Está claro que es necesario encontrar una solución, ya que están implicadas muchas más empresas y negocios más allá que el de la propia Meta. La solución más garantista sería que se restableciera algún tipo de mecanismo que permitiera y legalizara el flujo transoceánico de información entre continentes.

Mientras tanto, parecería razonable que la normativa estadounidense tratara de alinearse con la normativa europea para coordinar un tratamiento de datos en la misma línea de garantías y seguridad. Razonable, aunque también complejo de implementar.

Como alternativa, las locales de las tecnológicas americanas podrían independizar sus procesos de tratamiento de datos de los territorios donde la seguridad nacional va en contra de la privacidad, tal y como la conocemos en la UE. Sin embargo, a efectos prácticos supone resulta utópico que una filial, en cumplimiento del RGPD europeo, se independice de su matriz con el objeto de conseguir esas garantías.

La solución no es sencilla, y claramente ha de pasar por acuerdos gubernamentales firmes y concretos.

¿Y qué hace entre tanto la UE para solventar el asunto?

El 25 de marzo de 2021, la Secretaría de Comercio de Estados Unidos, Gina Raimondo, y el Comisario Europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que “el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE-UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 de la TJUE en el caso Schrems II”.
Lo que está claro es que el objetivo debe ser conseguir este marco. Entre otras cosas, porque desde la entrada en vigor del RGPD, la concienciación de los ciudadanos de la Unión Europea respecto al control de sus datos ha crecido exponencialmente. Y conseguirá que las empresas acaben poniendo todos los medios para adecuarse al reglamento.

¿Cómo podemos ayudarte?

Desde GlobalSuite Solutions podemos apoyarte en la implantación de protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, consiguiendo que tu Sistema de Gestión de Protección de Datos esté perfectamente integrado con un software como GlobalSuite® Privacy Data Protection y este te ayude a tu organización con el cumplimiento de los requisitos exigidos en el RGPD y la LOPDGDD.

 

Más artículos