Hoja de Router Opinión y blogs

Sobre este blog

Sin noticias de Safe Harbor: solo el 3% de las tecnológicas han hecho cambios

Tras 15 años de calma, el pasado 6 de octubre se desató la tormenta: una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) ponía punto final a Safe Harborpunto final a Safe Harbor (Puerto Seguro), el acuerdo que regulaba el viaje de toneladas de datos personales de ciudadanos europeos hacia Estados Unidos.

Tras los escándalos de Snowden y Max Schrems, el activista austriaco que denunció a Facebook por no garantizar la protección de los datos de sus usuarios en la Unión Europea, el carpetazo a Safe Harbor fue bienvenido como toda una victoria de la privacidad. Tras el terremoto, solo cabía esperar una verdadera vorágine de cambios para aceptar la nueva realidad y que los datos de los ciudadanos europeos cruzaran el charco de una forma segura o, directamente, no lo hicieran.

Sin embargo, casi dos meses después, el panorama tiene poco que ver con las expectativas generadas en octubre. Poco más de 120 compañías han reaccionado a la sentencia del TJUE, al menos según los datos que se extraen del ‘tracker’ de términos y condiciones creado por el jurista TIC Jorge Morell junto al desarrollador Alberto de Rodrigo.

Si bien superar el centenar de cambios en apenas dos meses podría entenderse como un logro, lo cierto es que la cifra resulta casi insignificante. De hecho, las empresas afectadas por el fin de Safe Harbor superan las 4.500, por lo que los cambios realizados hasta el momento no suponen ni el 3% de los que deberían haberse producido.

El escaso movimiento tiene su lógica. Si bien el viaje de los datos de los usuarios fuera de las fronteras europeas quedó comprometido una vez desacreditado Safe Harbor, el Grupo de Trabajo del Artículo 29 (GT 29), el organismo formado por las agencias de protección de datos de la Unión Europea, ha establecido una especie de tregua. Así, las compañías que mueven información personal de uno a otro continente tendrán hasta finales de enero de 2016 para adaptarse a la nueva realidad. “Pasado ese periodo, haya ‘Safe Harbor 2.0’ o no, no habrá excusas ante posibles sanciones”, explica Morell a HojaDeRouter.com

Las compañías pueden ir preparando un plan B mientras esperan a que suceda lo que realmente solucionaría la situación de forma definitiva: una segunda versión de Safe Harbor, un nuevo pacto entre Estados Unidos y la Unión Europea para el que, en principio, ya habría avances.

“Seguro que no será como el actual, ya que se volvería a considerar inválido”, comenta Morell respecto a ese esperada revisión del acuerdo. “Lo ideal sería que hubiera modificaciones en materia de protección de datos tanto en Europa como en Estados Unidos, pero no parece que Estados Unidos esté por la labor”.

El peculiar 3%

A pesar del margen concedido por las agencias europeas, sigue estando presente ese minúsculo 3% de empresas que sí ha decidido mover ficha. Un paseo por el centenar de compañías que se han lanzado a la piscina podría dar alguna pista sobre las razones de su decisión y el objetivo que persiguen.

Por un lado, pocas son las grandes compañías de internet que han reaccionado (al menos, de puertas para fuera) retocando sus términos y condiciones. Tan solo los nombres de la desarrolladora de juegos Atari, LinkedIn, la plataforma de comercio electrónico Etsy y Yahoo brillan con luz propia en ese pequeño mar de cambios.

Mientras tanto, no hay noticias de gigantes como Facebook o Google, que parecen esperar acontecimientos. A la vez, Microsoft ha anunciado ya, sin necesidad de variar sus textos legales, que hará el movimiento más lógico y deseable para los ciudadanos europeos: a partir de 2016, los de Redmond ofrecerán sus servicios en la nube desde sus centros de datos instalados en Alemania. Así, la información de sus usuarios no saldrá de las fronteras de la Unión Europea y serán tratados con las garantías de protección comunitarias.

Por otra parte, más allá de la ausencia de los gigantes de internet, otra característica de ese selecto y minoritario club de empresas que sí han decidido cambiar sus términos y condiciones es su clientela: en su mayoría, ofrecen servicios orientados al sector corporativo.

Así, las tres primeras compañías que reaccionaron a la muerte de Safe Harbor fueron el proveedor de servicios de correo electrónico MailChimp, la plataforma de almacenamiento en la nube Box (la más utilizada en el mundo empresarial) y la compañía de ‘cloud computing’ Salesforce.

“Las que han decidido actuar puede que lo hayan hecho por el volumen de clientes europeos que usan sus servicios”, confirma Morell. “Aunque la solución adoptada no sea perfecta, quedarse quieto hubiera sido peor a efectos de imagen”.

Un cambio, un parche

Para colmo, de esos cambios llevados a cabo, la mayoría suponen un mero maquillaje de los textos legales. “Todo son parches de trazo muy grueso, para salvar un poco la papeleta de aquella manera”, cuenta Morell. Así, de las más de 120 modificaciones localizadas con el ‘tracker’, un 35% consiste simplemente en la eliminación de cualquier referencia a Safe Harbor. Nada por aquí, nada por allá.

Por otra parte, el resto de empresas se ha limitado a hacer referencia a la sentencia del TJUE y han optado por dos vías: o bien se siguen agarrando a Safe Harbor como a un clavo ardiendo (es el caso de Yahoo, que reconoce que el acuerdo ha sido invalidado pero se sigue adhiriendo a sus principios), o bien plantean un par de alternativas para que los datos viajen con el consentimiento del usuario.

En algunos de los casos (apenas un 19%) se le da al usuario la posibilidad de aceptar directamente el tratamiento de sus datos en el extranjero. Con ese consentimiento “libre, inequívoco, específico e informado”, la información podría seguir viajando a través de las fronteras.

Las otras dos opciones a las que se acogen los servicios con cambios son las cláusulas contractuales (que se utilizan entre compañías) y las reglas corporativas vinculantes. “Se trata de una especie de normas internas sobre cómo se va a transferir información personal entre las distintas empresas de una multinacional aunque estén en distintos países”, explica Morell.

“Ninguno de los cambios es un milagro”, resume Morell. Mientras tanto, la solución perfecta para los europeos queda reducida a algo totalmente minoritario: solo el 3% de todos estos servicios señala explícitamente que almacena todos esos datos en la Unión Europea.

A falta de un nuevo acuerdo entre Estados Unidos y la Unión Europea, y con la aparente reticencia de las compañías a mover un dedo y traer sus servidores a este lado del charco, los datos personales de millones de europeos siguen viajando de un lado para otro gracias a algún que otro parche legal. ¿Una victoria para la privacidad? Está por ver.

---

Las imágenes son propiedad, por orden de aparición, de Intel Free Press, greensefa, Wikimedia Commons (y 2) y Marco Paköeningrat.

Tras 15 años de calma, el pasado 6 de octubre se desató la tormenta: una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) ponía punto final a Safe Harborpunto final a Safe Harbor (Puerto Seguro), el acuerdo que regulaba el viaje de toneladas de datos personales de ciudadanos europeos hacia Estados Unidos.

Tras los escándalos de Snowden y Max Schrems, el activista austriaco que denunció a Facebook por no garantizar la protección de los datos de sus usuarios en la Unión Europea, el carpetazo a Safe Harbor fue bienvenido como toda una victoria de la privacidad. Tras el terremoto, solo cabía esperar una verdadera vorágine de cambios para aceptar la nueva realidad y que los datos de los ciudadanos europeos cruzaran el charco de una forma segura o, directamente, no lo hicieran.