El Supervisor Europeo de Protección de Datos (SEPD) ha comenzado a examinar si las principales instituciones y agencias de la Unión Europea protegen eficazmente los datos personales de los ciudadanos cuando utilizan los servicios en la nube AWS de Amazon y Azure de Microsoft. Además de esto, en otra investigación, el mismo organismo también deberá analizar si el uso de Microsoft Office 365 por parte de la Comisión Europea cumple con las leyes de protección de datos.
Ambas investigaciones son una respuesta a la sentencia Schrems II, del pasado verano de 2020, la cual introdujo nuevos obstáculos a la transferencia de datos personales entre Estados Unidos -donde tienen su sede Amazon y Microsoft- y la Unión Europea.
EEUU podría acceder a datos privados guardados en la nube
El organismo de control de la privacidad examinará los llamados contratos "Cloud II" acordados entre la UE y Microsoft o Amazon para el uso de sus servicios en la nube. Wojciech Wiewiórowski, el Supervisor Europeo de Protección de Datos, ha aclarado que "cuando las Instituciones de la Unión Europea utilizan Azure y AWS la información personal de los individuos puede ser enviada a Estados Unidos".
Añade que, a menos que se tomen las medidas adecuadas según el reglamento General de Protección de Datos (RGPD) para proteger la transferencia de datos, existe el riesgo de vigilancia por parte de las autoridades.
La investigación analizará si una organización con sede en la UE que utilice un proveedor de servicios en la nube con sede en Estados Unidos, como AWS o Azure, podría encontrarse con que algunos de sus datos -incluidos los datos personales de clientes o empleados, por ejemplo- pueden estar a disposición de las autoridades estadounidenses para que puedan acceder a ella, según explica ZDnet de acuerdo a las informaciones.
Además de la nube, también se investigará a Microsoft Office 365. El fin de esta segunda investigación dice que es el de verificar la conformidad de la Comisión Europea a las recomendaciones previamente emitidas desde el SEPD sobre el uso de productos y servicio Microsoft por parte de las instituciones de la Unión Europea. Bruselas no ha dado información más concreta al respecto. Lo que sí destaca es que 45.000 empleados de las instituciones de la UE son usuarios de los productos y servicios del gigante de Redmond.
"Hemos identificado ciertos tipos de contratos que requieren una atención especial y por eso hemos decidido poner en marcha estas dos investigaciones", ha aclarado Wiewiórowski.
Qué dice la justicia europea sobre las leyes de protección de datos en EEUU
Cabe recordar que en la sentencia de julio de 2020, el Tribunal de Justicia de la UE (TJUE) concluyó que las leyes nacionales de EEUU. no se ajustaban a los estrictos requisitos de protección de datos establecidos por el Reglamento General de Protección de Datos (RGPD) de la UE. Esto se traduce a que, sin medidas de protección adicionales, los datos personales de los ciudadanos de la UE no pueden procesarse de forma segura en el país americano.
Todo comenzó por una reclamación de Maximiliam Schrems, un usuario de Facebook austriaco. Alegó que no deberían realizarse transferencias de sus datos en la red social considerando que en Estados Unidos no se ofrecen suficientes garantías de privacidad. Tras varias decisiones judiciales de distintos organismos, finalmente el Tribunal de Justicia ha declarado que el llamado 'Privacy Shield' no es válido.
En virtud de la Ley de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD Act), las autoridades estadounidenses están autorizadas a exigir a los proveedores de almacenamiento que sean de su país que les den acceso a la información contenida en sus servidores, incluso si esos datos se encuentran en el extranjero.
El SEPD, organización independiente que supervisa el tratamiento de datos personales por parte de las instituciones de la UE, ha observado de cerca el impacto de Schrems II en algunos de los contratos que vinculan a las oficinas y agencias europeas con las empresas tecnológicas de Estados Unidos antes de comenzar esta investigación.
Reconoce que las instituciones "dependen de un número limitado de grandes proveedores". Con estas investigaciones, el SEPD pretende ayudar a las IUE a mejorar el cumplimiento de la protección de datos al negociar los contratos con su proveedor de servicios.
Según explica, cuando las instituciones de la UE utilizan Azure y AWS** la información personal de los individuos puede ser enviada fuera de la UE y a los Estados Unidos**, y a menos que se tomen las medidas apropiadas que cumplan con el GDPR para proteger la transferencia de datos, existe un riesgo de vigilancia por parte de las autoridades. En otras palabras, el SEPD comprobará ahora si las instituciones del bloque adoptan estas medidas conformes con el RGPD.
A la espera de las conclusiones que lleguen a la ivnestigación, esta podría ser una oportunidad para las empresas de países de la Unión Europea que ofrecen servicios en la nube y que se han unido en la iniciativa GAIA-X por la que la Unión Europea también ha apostado.