Tras la aprobación de la CLOUD Act en Estados Unidos, el gobierno holandés solicitó un informe en relación a la aplicación de la misma a entidades europeas.
El RGPD impone una serie de requisitos en el campo de la protección de datos con los que tienen que cumplir las empresas a riesgo de enfrentarse a importantes multas si no lo hacen. Desde que comenzó a aplicarse en 2018, han surgido algunas críticas en torno a su amplio alcance territorial, que ha llevado a que ciertas empresas localizadas en terceros países, como Meta o Clearview, hayan sido sancionadas por no cumplir con el RGPD en el tratamiento de datos en Estados Unidos.
Este dilema también se da en el sentido contrario, cuando se trata de la aplicación de leyes de terceros países en Europa. En concreto, recientemente se ha discutido el potencial impacto de la CLOUD Act de Estados Unidos en las entidades europeas y en qué medida cumplir con la misma entra en conflicto con la normativa comunitaria. Conforme al RGPD, los datos europeos que se almacenen o traten en Estados Unidos deben protegerse conforme a los requisitos del RGPD. El conflicto surge porque la CLOUD Act permite al gobierno federal de Estados Unidos citar a ciertas empresas tecnológicas para que proporcionen datos de algunos usuarios, incluso si están almacenados en el extranjero. Esta posibilidad sitúa a las empresas europeas en una posición delicada al suponer que tendrían que cumplir con la normative estadounidense y transmitir datos personales incluso cuando éstos se encuentran protegidos bajo el RGPD. Es así importante considerar en detalle cómo las empresas europeas se ven impactadas por esta ley.
El Centro Nacional de Ciber Seguridad holandés solicitó a un despacho de abogados investigar la aplicación de la CLOUD Act a las empresas europeas, y la semana pasada publicaron los resultados del informe.
Como se ha mencionado, determinadas normativas de protección de datos tienen un efecto extraterritorial. En este caso la cuestión principal es cómo de fuerte es dicho efecto en el caso de la CLOUD Act para las empresas europeas y en relación a su cumplimiento con el RGPD.
La CLOUD Act se aplicará a empresas europeas sólo bajo determinadas circunstancias.
Debe señalarse que esta ley se aplicará a las empresas europeas sólo bajo determinadas circunstancias. Especialmente, cuando se trate de proveedores de un servicio de comunicaciones electrónicas o de computación en la nube, con suficientes contactos en Estados Unidos. Esta última categoría es particularmente importante porque, mientras que la normative no otorga necesariamente a los tribunales estadounidenses más poder sobre las compañías extranjeras, impacta a aquellas que tengan contactos en Estados Unidos. Normalmente esto implicará que el gobierno podría aplicar la legislación a las compañías europeas que tengan: 1) Una entidad estadounidense; 2) Una entidad extranjera con una oficina en Estados Unidos; 3) una entidad extranjera con suficientes contactos en Estados Unidos como para satisfacer el requisito de jurisdicción personal. En consecuencia, se puede considerar que la aplicación de la CLOUD Act a las empresas europeas fuera de Estados Unidos dependerá de la presencia y relaciones o afiliaciones que la compañía tenga con Estados Unidos. Si bien debe tenerse en cuenta que si las empresas utilizan Cláusulas Contractuales Tipo y llevan a cabo la preceptiva Evaluación de Impacto de Protección de Datos con la implementación de las medidas de mitigación asociadas, en la mayoría de los casos el cumplimiento con el RGPD no se verá en riesgo.
Entidades europeas que no están en Estados Unidos pero ofrecen sus productos y servicios a consumidores de allí.
Otra cuestión es cómo impacta la CLOUD Act a las empresas de Europa que no están localizadas en Estados Unidos pero ofrecen sus productos y servicios a los consumidores de dicho país. Esto se relaciona con el concepto de “jurisdicción personal” que considera si una compañía tiene residencia en Estados Unidos. Sería el ejemplo de una empresa extranjera que tiene un alcance tan amplio en Estados Unidos que podría ser llevado frente a los tribunales en el país. Este test valora las actividades de la compañía en el mercado estadounidense y su interacción con el mismo. Así por tanto, si una empresa ofrece sus productos y servicios de manera específica al mercado de Estados Unidos, se podría considerar que tienen que cumplir con una hipotética orden recibida bajo la CLOUD Act. Al contrario, una empresa que no se dirige específicamente a Estados Unidos no se vería afectada por la CLOUD Act, sobre todo si no tiene contactos en Estados Unidos.
Consecuencias de no cumplir con una orden recibida bajo la CLOUD Act.
El elemento final que puede valorarse es qué ocurriría si una entidad europea rechaza cumplir con una orden bajo la CLOUD Act o decide ignorarla. De manera similar al RGPD, las empresas que no cumplan con sus disposiciones pueden enfrentarse a importantes multas económicas o incluso penas de prisión. Si embargo, bajo varias circunstancias, una empresa europea puede cuestionar una orden recibida bajo la CLOUD Act. Primero, si ésta entra en conflicto con la ley del país extranjero que no cuenta con un acuerdo internacional autorizado por la CLOUD Act. Esto es interesante en relación a la decisión del TJUE en el caso Schrems II, que anuló el Privacy Shield e implica que no existe tal acuerdo entre Europa y Estados Unidos en este contexto. Otra protección adicional para las empresas europeas es que el consumidor o suscriptor no reside en Estados Unidos ni cuenta con la ciudadanía estadounidense y la ley violaría las leyes de un gobierno cualificado (Europa está incluida en dicha categoría). Puede concluirse que las empresas europeas cuentan con una gran protección frente a las órdenes recibidas bajo la CLOUD Act. Esto podría sin embargo evolucionar si se aprueban nuevos acuerdos entre Europa y Estados Unidos en el campo de las transferencias internacionales.
CLOUD Act y la decisión del caso Schrems II
En resumen, las empresas europeas con conexiones muy débiles con Estados Unidos enfrentarán mínimas consecuencias en relación a la CLOUD Act. Las empresas europeas que tengan lazos con Estados Unidos también pueden estar exentas de cumplir con la CLOUD Act si entra en conflicto con el RGPD, dada la ausencia de un acuerdo de transferencias entre ambos países. Esta conclusión sería consistente con la decisión tomada en el caso Schrems II.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.