Se está iniciando una acción de aplicación coordinada centrada en el uso de servicios en la nube por parte de los organismos del sector público en toda la Unión Europea. Más de 80 organismos públicos en una amplia gama de sectores, incluidos salud, finanzas, impuestos, educación y suministro y contratación de servicios de TI, se enfrentarán a las autoridades locales de protección de datos, que van desde ejercicios de investigación y cuestionarios hasta, potencialmente, investigaciones formales. si se identifican problemas de privacidad. La Junta Europea de Protección de Datos (EDPB) anunció el plan para enfocarse en el uso de servicios en la nube del sector público en octubre pasado, pero hoy marca el inicio de la acción a nivel nacional que espera tomar la mayor parte de este año, con un “estado de juego”. informe programado para ser publicado por la Junta antes de finales de 2022, según una portavoz. “En 2021, los miembros de EDPB examinaron una lista de posibles opciones para el primer CEF [coordinated enforcement framework] acción: priorizaron el uso de servicios en la nube por parte de los servicios públicos”, dijo también, y agregó: “Esta fue una elección colectiva. Los miembros individuales pueden haber priorizado este tema por varias razones, incluido el hecho de que ya han lanzado algún trabajo sobre ese tema o que planeaban hacerlo en un futuro cercano”. El EDPB dijo que el objetivo del CEF es armonizar el enfoque adoptado por las autoridades de control individuales para garantizar una aplicación más coherente de la ley de protección de datos de la UE. “Se ha realizado un intenso trabajo preparatorio desde octubre y la EDPB ahora está implementando las acciones a nivel nacional”, agregó la portavoz. “AS Nacionales [supervisory authorities] estudiará, en particular, las garantías implementadas al adquirir servicios en la nube, incluidas las cuestiones relacionadas con las transferencias internacionales”.

El día de hoy marca el inicio de la primera acción coercitiva coordinada de la EDPB. En los próximos meses, 22 SA nacionales en todo el EEE (incluido el EDPS) iniciarán investigaciones sobre el uso de servicios basados ​​en la nube por parte del sector público. Lea todo sobre esto aquí: https://t.co/fUQzgMxoAp pic.twitter.com/VrCENCdban
— EDPB (@EU_EDPB) 15 de febrero de 2022

El EDPB dijo que 22 autoridades nacionales se están uniendo al barrido en el Espacio Económico Europeo, incluido el Supervisor Europeo de Protección de Datos (EDPS), que el año pasado abrió su propia investigación de contratos entre instituciones de la UE y gigantes de la nube de EE. UU., AWS y Microsoft, como parte de su supervisión del cumplimiento de las normas de protección de datos del bloque. La acción de CEF que comienza hoy no suplanta tales investigaciones individuales, y es probable que varias investigaciones existentes aún estén en curso, sino que complementa cualquier investigación específica y puede conducir a que se abran nuevas, ya que llamará la atención sobre el uso de la nube por parte del sector público. servicios y en el detalle de los contratos que a menudo implican transferencias de datos fuera de la UE. Los contactos en la nube con los gigantes estadounidenses se han enfrentado especialmente a un escrutinio adicional en la UE desde un fallo de julio de 2020 del tribunal supremo del bloque, que invalidó un acuerdo emblemático de transferencia de datos entre la UE y los EE. UU., aumentando la inseguridad jurídica en torno a los flujos transatlánticos de datos personales. En las últimas semanas también hemos visto un aumento en las medidas de protección de datos en el tema de la transferencia de datos. Este año, varias autoridades identificaron infracciones del Reglamento general de protección de datos (GDPR) de la UE adjunto a herramientas convencionales como Google Analytics debido a la exportación de datos personales a los EE. UU. (Consulte, por ejemplo, las decisiones recientes del EDPS, y en Austria y Francia, que determinaron que los datos de los usuarios de la UE no estaban adecuadamente protegidos). Tales medidas implican que el cumplimiento del RGPD puede requerir que las entidades de la UE dejen de usar ciertos datos basados ​​en los EE. UU. herramientas en la nube por completo, a menos o hasta que se puedan aplicar medidas complementarias sólidas (o un nuevo marco legal) para proteger los datos de los ciudadanos. El problema general no es solo que EE. UU. no tiene un estándar legal equivalente al RGPD de la UE que protege los datos de las personas, sino también que tiene amplias leyes de vigilancia, lo que significa que la información de las personas puede ser absorbida en masa o a través de búsquedas dirigidas por parte de agencias gubernamentales que utilizan barridos. poderes para aprovechar las plataformas comerciales y la infraestructura de Internet como parte de los programas de intercepción orientados hacia una seguridad nacional de ‘recolectarlo todo’ a través de la filosofía de vigilancia masiva.

El uso *documentado* de la NSA de las cookies de Google y DoubleClick no fue a través de PRISM, fue a través de UPSTREAM. Puede que no haya implicado pedirle a Google estos datos; implicó la interceptación de estos datos a medida que pasaban a través de medios de transmisión accesibles en los Estados Unidos. https://t.co/jKx3ndiUH4 — Michael Veale (@mikarv) 10 de febrero de 2022

Este choque entre los poderes de vigilancia de los EE. UU. y los derechos de privacidad y protección de datos de la UE ha provocado importantes daños colaterales comerciales en forma de un drama legal de varios años para las empresas que desean exportar datos de usuarios de la UE a los EE. UU. para su procesamiento, con solo un breve un respiro a través del acuerdo de transferencia de datos del Escudo de privacidad UE-EE. UU. (que duró solo cuatro años, de 2016 a 2021, antes de ser derribado como ilegal). Esta incertidumbre constante significa que cada propuesta de transferencia de datos UE-EE. UU. ahora debe evaluarse caso por caso y, cuando se identifiquen riesgos, las exportaciones de datos solo pueden tener lugar si se pueden aplicar medidas complementarias adecuadas para elevar el nivel de protección a la UE. estándar jurídico. Este es un problema especialmente en lo que respecta a los servicios en la nube, ya que muchas de las plataformas dominantes están basadas en los EE. UU. Para algunos servicios de minería de datos (¡hola, Facebook!), puede que simplemente no sea posible aplicar medidas complementarias adecuadas para proteger las transferencias. Para otros, digamos donde una plataforma en la nube con sede en los EE. UU. no requiere acceso a los datos del usuario en forma clara, puede ser posible aplicar una medida técnica, como el cifrado de extremo a extremo, para eliminar adecuadamente el riesgo de una transferencia. Sin embargo, averiguar qué puede funcionar es en sí mismo complejo. (El EDPB publicó previamente una guía detallada sobre transferencias de datos que analiza una variedad de posibles medidas, contractuales, técnicas y organizativas, y algunos escenarios de ejemplo de lo que podría funcionar y lo que no). es el foco de las negociaciones continuas entre la UE y los EE. UU.: cada transferencia de datos personales de los usuarios de la UE a un tercer país debe evaluarse según sus méritos, lo que genera costos y fricciones constantes para las empresas en ambos lados del Atlántico. Por otro lado, las agencias de protección de datos de la UE están preocupadas por los crecientes riesgos para la privacidad de los ciudadanos que se derivan de una adopción cada vez mayor de los servicios en la nube. El EDPB cita un hallazgo de EuroStat de que la adopción de la nube por parte de las empresas se duplicó en toda la UE en los últimos seis años. “La pandemia de COVID-19 ha provocado una transformación digital de las organizaciones, y muchas organizaciones del sector público recurren a la tecnología en la nube. Sin embargo, al hacerlo, los organismos públicos a nivel nacional y de la UE pueden enfrentar dificultades para obtener productos y servicios de tecnología de la información y la comunicación que cumplan con las normas de protección de datos de la UE”, escribe, y agrega: “A través de una orientación y acción coordinadas, las SA tienen como objetivo fomentar las mejores prácticas y garantizar así la adecuada protección de los datos personales. “En particular, las SA [supervisory authorities] explorará los desafíos de los organismos públicos con el cumplimiento de GDPR al usar servicios basados ​​en la nube, incluido el proceso y las medidas de seguridad implementadas al adquirir servicios en la nube, los desafíos relacionados con las transferencias internacionales y las disposiciones que rigen la relación controlador-procesador”. Según la Junta, los resultados del CEF también se analizarán en lo que describe como “una manera coordinada”. Sobre el potencial de más acciones nacionales de supervisión y aplicación, solo dice que dependerá de las agencias de protección de datos decidir. Pero la esperanza es claramente utilizar la acción conjunta y la investigación para reducir la fragmentación y evitar un mosaico de cumplimiento mediante la armonización de la aplicación y la orientación. Eso también significa que una vez que comencemos a ver la aplicación de la ley en el sector, es probable que se avecinan otras acciones similares. El EDPB dijo que los resultados del CEF sobre el uso de la nube en el sector público se agregarán, lo que generará “una visión más profunda del tema y permitirá un seguimiento específico a nivel de la UE”. Su portavoz también describió el próximo informe como “un ejercicio de balance”. En respuesta a las preguntas, también confirmó que el cronograma de publicación del informe (para fines de 2022) no debe interpretarse en el sentido de que no se tomarán medidas mientras tanto ni que todas las acciones de aplicación finalizarán al final de la año, teniendo en cuenta que normalmente lleva más tiempo finalizar una decisión de sanción que enviar una carta con recomendaciones. También nos pusimos en contacto con el SEPD con preguntas sobre la investigación de los contratos en la nube de las instituciones de la UE con AWS y Microsoft que anunció el año pasado y actualizará este informe con cualquier respuesta.
Actualizar: En una declaración de hoy sobre sus prioridades para 2022, el organismo de control de protección de datos francés, CNIL, también escribe que cree que los servicios en la nube merecen una “atención especial” por parte de los reguladores de la UE, ya que estas tecnologías se han vuelto “esenciales”. Además, confirma su participación en el grupo de trabajo de CEF, incluso a través de “procedimientos de control” que, según dice, se dirigirá a cinco ministerios este año. “A lo largo del año, la CNIL analizará con mayor detalle los problemas relacionados con las transferencias de datos y el marco de las relaciones contractuales entre los controladores de datos y los proveedores de soluciones en la nube”, escribe también la CNIL, y agrega: “Este [CEF] es una acción clave en la estrategia del EDPB para los años 2021-2023, cuyo objetivo es armonizar la aplicación efectiva del RGPD y la coordinación entre las autoridades de control”.