Persona abriendo un candado

Cómo navegar por la tecnología de eDiscovery sin el Escudo de Privacidad

Las organizaciones que se basaron en el escudo deben instituir un mecanismo de transferencia aprobado alterno o correr el riesgo de incumplir el RGPD.


En resumen

  • El tribunal más alto de Europa invalidó el Escudo de Privacidad UE-Estados Unidos en la decisión Schrems II.
  • Sin el Escudo de Privacidad, las empresas aún pueden transferir datos personales de la UE a Estados Unidos, con las salvaguardas adecuadas.
  • Las empresas deben seguir nueve elementos de acción para impulsar el cumplimiento y posicionarse para el éxito, sin correr el riesgo de sanciones significativas.

Los datos de los consumidores son el motor de las empresas hoy en día, permitiendo sus estrategias de negocio, relaciones más sólidas y mayor innovación. Sin embargo, en un panorama de regulaciones de privacidad en constante evolución a nivel global, los riesgos de incumplimiento y las sanciones son una preocupación constante. Otro giro ocurrió en julio de 2020, cuando se invalidó el Escudo de Privacidad UE-Estados Unidos, complicando los negocios "como de costumbre" para que las empresas que dependen de cláusulas contractuales estándar (SCC, por sus siglas en inglés) recopilen y procesen datos personales de la UE.

Las organizaciones que anteriormente confiaban en el Escudo de Privacidad deben instituir inmediatamente un mecanismo de transferencia alternativo aprobado para los datos de la UE o arriesgarse a incumplir el Reglamento General de Protección de Datos (RGPD), con multas de hasta el 4 % de sus ingresos anuales o 20 millones de euros, lo que sea mayor.

Las empresas con una huella de consumidor en la UE deben revisar sus estrategias de datos: realizar una evaluación de riesgos, reconocer que eliminar datos tiene consecuencias, evitar recopilaciones excesivas, minimizar el eDiscovery, garantizar una notificación adecuada e implementar medidas de seguridad sólidas. Antes de profundizar en estos pasos de acción, es importante comprender las implicaciones de las decisiones del Tribunal de Justicia de la Unión Europea (TJUE). Un informe de EY también contiene más antecedentes.

Las SCC siguen siendo válidas (con consideraciones)

El Escudo de Privacidad fue diseñado para ayudar a las empresas a cumplir con el GDPR al transferir datos personales de la UE a los Estados Unidos. Max Schrems, un abogado austriaco, argumentó con éxito que el Safe Harbor —el predecesor del Escudo de Privacidad— no protegió suficientemente sus datos cuando se transfirieron a Estados Unidos. Luego, en una decisión del TJUE que se conoció como Schrems II, el Escudo de Privacidad también se consideró inadecuado.

El TJUE confirmó la validez de las SCC como mecanismo de transferencia aprobado. Sin embargo, requerirá, antes de cualquier transferencia, un escrutinio más estricto y una evaluación caso por caso por parte de las partes exportadoras e importadoras, en cuanto a si las leyes del país importador proporcionan un nivel adecuado de protección esencialmente equivalente al garantizado dentro de la UE por el RGPD. Si las partes determinan que no se puede cumplir la SCC debido a las leyes locales, el TJUE instruye a los exportadores de datos para que cesen inmediatamente todas las transferencias de datos y/o den por terminado la SCC.

Los profesionales de eDiscovery pueden usar las SCC con cautela, pero es posible que deban implementar medidas complementarias para cumplir con el GDPR y otras estrategias. Esto puede incluir el uso de las excepciones previstas en el artículo 49 del RGPD basadas, por ejemplo, en el consentimiento del interesado o en la ejecución de un contrato para transferir datos personales fuera de la UE a los Estados Unidos.

Schrems II hace hincapié en que las CCT también deben abordar las garantías que impidan el acceso a los datos por parte de las autoridades públicas o los servicios de vigilancia. Es especialmente importante que las empresas que dependen de las SCC para eDiscovery las revisen tras la decisión del TJUE y confirmen el cumplimiento del RGPD.

Consideraciones clave para avanzar en eDiscovery

Para cumplir con los nuevos requisitos:

  1. Comience con una evaluación del nivel de protección orientada al riesgo. Evaluar el nivel de protección ofrecido por el país no perteneciente a la UE e identificar las salvaguardas adicionales que pueden ser necesarias para transferir la información de forma segura a los Estados Unidos, teniendo en cuenta las cláusulas contractuales, la posibilidad de cualquier acceso por parte de las autoridades públicas del país importador y los aspectos relevantes de su sistema legal. Si los datos incluyen datos personales, puede eliminarlos o identificar medidas de procedimiento y técnicas adicionales.

  2. Elimine los datos con precaución. Al redactar información personal de documentos, reconozca que hacerlo altera su forma, plantea problemas de autenticación y amenaza su admisibilidad en los tribunales. Puede ser más productivo separar los documentos con información personal del conjunto de datos, procesarlos en el estado miembro de la UE y transferir los datos restantes a los Estados Unidos.

  3. Evite la eliminación salvaguardando los detalles. Puede anonimizar o anonimizar los datos en la UE para ocultar los datos individuales de los interesados de la UE. Como alternativa, utilice técnicas de seudonimización para enmascarar esta información. Aunque no desinfecta completamente el material, sigue siendo un método adecuado para protegerlo del acceso no autorizado.

  4. Reflejar la proporcionalidad en las políticas. El TJUE razonó en el asunto Schrems II que cualquier injerencia en las libertades y derechos fundamentales que protegen la privacidad de los datos debe satisfacer el principio de proporcionalidad, es decir, que la injerencia debe limitarse a lo estrictamente necesario. A juicio de la Corte, los programas de vigilancia de Estados Unidos no están alineados con este principio. Por lo tanto, las empresas deben actualizar sus políticas y procedimientos de cumplimiento que rigen las solicitudes de descubrimiento y el procesamiento de datos para reflejar el principio de proporcionalidad.

  5. Evite la exhibición de documentos electrónicos demasiado amplia. Las empresas deben definir normas claras y precisas que aborden el alcance y la aplicación de la exhibición de documentos electrónicos e imponer salvaguardias para proteger los datos personales contra el riesgo de abuso. Con ese fin, las empresas deben:
    • Oponerse a las solicitudes de eDiscovery excesivamente amplias de datos en la UE
    • Reevaluar la necesidad de descubrimiento transfronterizo y determinar si los registros en cuestión son accesibles desde fuentes estadounidenses
    • Determinar si un proveedor de servicios de la UE puede procesar los datos en lugar de uno basado en los Estados Unidos.
  6. Minimice la recopilación y el procesamiento de datos de exhibición de documentos electrónicos. Es esencial que las políticas y procedimientos de la empresa cumplan con la letra y los principios del GDPR, lo que significa que la recopilación y el procesamiento de datos de eDiscovery deben utilizar la minimización de datos como pilar. Las partes deben limitar el procesamiento y el almacenamiento de datos a lo estrictamente necesario cuando se recopilan, y luego borrar de inmediato el material innecesario sin preservarlo ni retenerlo para posibles litigios futuros.

  7. Informar a los interesados. Las empresas también deben informar a los interesados de cómo y por qué se procesan sus datos, justificarlo y actualizar la información que se les proporciona cuando se recopila y transfiere información personal. El artículo 13 del RGPD enumera la información que el responsable del tratamiento debe proporcionar al interesado en el momento en que se obtengan sus datos personales. Y las empresas deben tener un registro actualizado de sus actividades de procesamiento para confirmar que pueden demostrar el cumplimiento del GDPR.

  8. Comprende que el escrutinio de seguridad puede aumentar. El GDPR también requiere que las empresas notifiquen a las personas de una violación de datos que resulte en un alto riesgo para sus derechos y libertades. Siguiendo Schrems II, las empresas deben contar con un proceso definido y desarrollar sistemas de notificación para los exportadores de datos, las autoridades de protección de datos en los Estados miembros de la UE y el Comité Europeo de Protección de Datos cuando se produzcan cambios en el procesamiento de datos. Esto también es necesario cuando los datos pasan a ser objeto de procesos civiles, autoridades gubernamentales o medidas de vigilancia.

  9. Actualiza tu IT de eDiscovery. Las empresas deben utilizar la tecnología para confirmar la disponibilidad, confidencialidad, integridad y resiliencia de los sistemas y servicios de procesamiento. Los controladores y procesadores deben restaurar los datos personales después de un evento físico o técnico, por lo que debe haber un proceso para probar y evaluar los sistemas regularmente, así como para evaluar la efectividad de las medidas para la seguridad del procesamiento.

Tomar estas medidas ofrece beneficios más allá de la actualidad — también pueden posicionar a las organizaciones para que puedan evolucionar más fácilmente para abordar otros problemas regulatorios que se desarrollan en otras partes del mundo.

Resumen

A raíz de Schrems II, las empresas que buscan eDiscovery en Europa deben tener en cuenta que la validez de las cláusulas contractuales estándar (SCC) para transferir datos de la UE a Estados Unidos depende de que estas SCC incluyan mecanismos efectivos que confirmen el cumplimiento del nivel de protección esencialmente equivalente al garantizado por el RGPD.

Artículos relacionados