No somos Facebook
Por Héctor Guzman
+
(Producto del imaginario personal, también conocido como deformación profesional)
ESCENARIO: Sala principal de reuniones de una transnacional americana, que cuenta con 35 sucursales en 15 países miembros de la Unión Europea (entre otros países).
PERSONAJES: Cualquier CEO
Cualquier CFO
Cualquier COO
Cualquier CSO
Cualquier CPO
ESCENA ÚNICA:
CEO (con aire enfurecido): CPO, ¿qué ha pasado?
¿Por qué me llaman para preguntar qué haremos ahora que en Europa han prohibido las transferencias de datos hacia USA?
¿Qué demonios es la sentencia Facebook?
¿Y qué tiene que ver con nosotros?
No somos una red social, ¡no somos Facebook!
CPO (tras un suspiro): Sin duda estaréis todos sorprendidos por la noticia. La verdad es que lo que se lee en los periódicos puede desorientar un poco. Iré por partes.
En primer lugar, debes quitarte de la cabeza la idea de que en Europa han creado una prohibición para enviar datos hacia EEUU; han creado un problema bastante complicado, pero ahora mismo no existe tal prohibición y no es previsible que vaya a existir.
Sin embargo, todos nosotros debemos analizar la situación actual y tomar decisiones a corto y medio plazo.
La “sentencia Facebook” (el CPO dibuja apóstrofes en el aire), si así quieres llamarla, la emitió el Tribunal de Justicia de la Unión Europea para resolver una cuestión prejudicial planteada por … (el CEO levanta las cejas y a continuación pone cara de impaciencia)
¡Bueno, de acuerdo!
No te aburriré con detalles… ¡pero luego no digas que nunca explico las cosas!
En fin… la dichosa sentencia he declarado inválida una Decisión de la Comisión Europea que, básicamente, permitía la transferencia de datos personales desde Europa hacia USA sin necesidad de recurrir a autorizaciones especiales para llevarlas a cabo.
Las empresas receptoras de los datos (como las nuestras) tenían que adherirse a unos principios y FAQs para garantizar la seguridad de los datos recibidos y la privacidad de las personas a las que pertenecen. Al adherirnos, aparecíamos en una “lista” que cualquier persona podía consultar para comprobar si tal o cual empresa había aceptado los compromisos.
CEO: Entonces, ¿sí estábamos en esa lista?
CPO: Desde luego. De otra forma, no podríamos tratar los datos que nos llegan todos los días desde la UE. Es un trámite que aprobaste hace 6 o 7 años. Todo el esquema se conoce como Safe Harbor.
¿Muy poético, no?: Somos un Puerto Seguro para sus datos… tranquilos, pueden enviarlos sin preocupaciones… aquí estarán a buen recaudo.
CEO: OK, OK… ¿y qué más?
CPO: Pues mira… para no hacer el cuento largo: ¡Se han cargado Safe Harbor!
El TJUE ha dicho que la Decisión de la Comisión sobre Safe Harbor es inválida, que Safe Harbor no sirve, que no cumple su propósito, que en EEUU no protegemos adecuadamente los datos de ciudadanos europeos porque permitimos que autoridades como la NSA accedan a esos datos sin que nadie pueda hacer nada al respecto. Vamos… poco faltó para que nos llamaran espías en la sentencia.
CEO: ¿Y ellos no espían? ¿No espían a sus ciudadanos? ¿No interceptan o registran comunicaciones en la UE?
CPO: ¡Claro que sí!
Pero en la mayoría de los casos, se basan en órdenes judiciales para hacerlo. Y no puedo decir que hagan una vigilancia de la envergadura que ha hecho (o hace) la NSA.
CEO: De acuerdo. Estoy seguro que conoces todos los detalles de este despropósito, pero tenemos que determinar efectos, soluciones y costos. Para eso estamos aquí. ¿En dónde pondrías mayor atención DPO?
DPO: Lo primero que quiero acordar con todos es el tema de Recursos Humanos. Nuestra base de datos Global Employees tiene información de aproximadamente 60.000 personas. Y tenemos cerca de 35.000 en Europa.
CEO: Tengo presente esa cifra.
¿Y qué haremos? ¿Dejamos de procesar sus datos? ¿Los borramos de Global Employees?
¿Los devolvemos a cada filial de Europa?
¡¿Y qué van a hacer con esa información?! Nosotros tenemos el core del procesamiento de esa información. ¿Cuánto tiempo tomaría que cada país adopte la plataforma a nivel local?
¿Y cómo vamos a mantener el sistema global, lo vamos a fraccionar en Europa y el resto del mundo? Porque esto sólo pasa con Europa, ¿no?
¿Y el training? ¿Cuánto tiempo necesitarán para aprender a usar la plataforma, más allá del envío de información que ya venían haciendo?
Y sobre todo (mira al CFO) ¿cuánto nos va a costar esto?
CFO: Imposible decir algo en este momento; pero no será barato, de eso puedes estar seguro. Tenemos que analizar si seremos nosotros los que absorban el gasto o si lo trasladaremos a cada filial de la UE.
COO: ¡Eso por descontado! Su sentencia, su gasto.
¡No esperarán que seamos nosotros los que paguemos este desbarajuste!, ¿verdad?
CPO: Algunos costes sí serán por nuestra cuenta. No lo duden.
CFO: Si eso es así (y esto no quiere decir que esté de acuerdo), de esta sala no salimos sin que quede clara una cosa: hay que trasladar a las filiales europeas la mayor cantidad de costes derivados de esta decisión.
¿No se puede recurrir o hacer algo… algo más para que cambien de parecer?
CPO: No, no se puede hacer nada al respecto.
(Silencio de 5 segundos)
Existen otros temas relacionados con RRHH: tenemos 6 o 7 servicios outsourcing que afectan al 90% de nuestros empleados: Payroll, headhunting, background checks, hosting, entre otros.
COO: A ver, esto no es mi especialidad, pero no entiendo por qué esos servicios también están afectados por esta sentencia. ¿Cómo puede ser?
CPO: Porque son subcontratistas.
Con algunas filiales de Europa hemos firmado contratos de prestación de servicios muy generales. Los apoyamos para muchas cosas, incluyendo el hosting de casi toda su información. El servicio de hosting lo hemos contratado con un tercero.
Ahora mismo no me queda claro si es «legal» que esas empresas sigan teniendo los datos de los europeos o si debemos pedir que los devuelvan mientras determinamos todo el plan de acción. Lo que es seguro es que tendré que trabajar con Legal para identificar contratos, vigencia de los mismos, y programar revisiones de los mismos para adaptarnos al nuevo escenario.
CEO: ¡Pero vamos a ver!
Yo quiero tener una cosa muy clara, porque los accionistas querrán saberlo.
Hasta este momento, ¿hemos hecho algo ilegal?
Hasta el día de ayer, los datos iban y venían sin ningún problema, y ahora me dices qué todo estaba mal; que aquello que permitía este flujo de datos, de hecho era ilegal. Esto no tiene sentido.
COO: ¿Y los clientes? Los datos de los clientes, ¿tampoco podremos traerlos a USA? Una tercera parte de esa información es indispensable para prestar algún servicio, pero TODA la usamos para control y estadística.
Sólo se me viene a la cabeza una reestructura muy grande y que puede tomar mucho tiempo. Lo de RRHH es un ejemplo, pero adaptar Ventas y Operaciones a esto, creo que sería más complicado y costoso.
CPO: ¡Un momento! Todos tienen que entender que no vamos a hacer cambios significativos de inmediato.
Ni los propios europeos saben qué deben hacer a partir de esa sentencia; sólo unos pocos han sacado el cuchillo y piden que las transferencias de datos paren de inmediato, pero hay gente como Věra Jourová que tiene claro que actualmente hay cosas que ya funcionan, que deben seguir funcionando y que no dejarán de hacerlo a pesar de la sentencia Safe Harbor.
Es una cuestión de adaptación a la nueva situación, pero creo que legalmente, si llega a darse el caso, debemos defender que los flujos de datos actuales comenzaron y se han efectuado bajo un marco perfectamente válido, y que la invalidez de Safe Harbor es sobrevenida. Nosotros hemos actuado de buena fe dentro de ese marco… mientras duró.
No sé cuánto tiempo pasará para que tengamos directrices o recomendaciones desde Europa al respecto; y no debemos esperar a que lleguen antes de hacer algo, pues existe la posibilidad de que en cualquier momento determinadas empresas o clientes empiecen a pedir que devolvamos sus datos.
Por lo tanto, estas son las medidas que creo debemos adoptar:
-
Comunicación a nuestro personal sobre el cambio que se ha producido, indicando que requerimos su consentimiento para continuar procesando sus datos en USA. Aunque en ocasiones es posible decir que la transferencia es necesaria para el cumplimiento de un contrato, les aseguro que será difícil que nos den la razón si decimos que para la existencia de una relación laboral de un europeo es necesario que sus datos terminen en EEUU.
-
Redactaré un documento para las nuevas incorporaciones. No hará falta contarles toda la historia, pero sí debemos pedir que consientan el envío y tratamiento de su información en territorio americano (pero no estarán obligados a aceptarlo, ya les anticipo).
-
Tendré que revisar, para todos los casos, la forma adecuada de comunicar el tratamiento de sus datos por parte de terceros.
-
COO, haré algo similar para el tema de los clientes, pero con ellos es posible que debamos adoptar unas “Cláusulas Tipo”, que en Europa aprobaron para llevar a cabo transferencias hacia países a los que la Comisión Europea no les ha reconocido un nivel adecuado de protección. Como resultado de la sentencia, para la UE los EEUU ahora es un país que no ofrece un nivel adecuado de protección para los datos personales de sus ciudadanos.
-
CSO, tendremos que estar preparados. Desde Europa es casi seguro que los abogados de cada filial vayan a solicitar información sobre nuestros sistemas y las medidas de seguridad que tenemos implementadas; debemos estar preparados para entregar información a cada país y negociar con ellos determinados acuerdos.
CFO: ¡My God! ¿Y eso para qué?
CPO: Es previsible que algunos abogados europeos vayan a proponer que solicitemos en varios de sus países autorizaciones, para que desde cada filial nos puedan enviar datos; por eso mencioné las “Cláusulas Tipo”. En algunos países las autoridades de control revisarán estas solicitudes, las cláusulas, las medidas de seguridad que ofrecemos y decidirán si otorgan la autorización.
CSO: Y tenemos que probar que nuestros sistemas son seguros, ¿Correcto?
CPO: Esa es la idea básica. Tendremos que tener listos todos nuestros procedimientos y políticas.
CSO: Eso dalo por hecho. Lo tenemos todo al día.
CEO: ¡Un momento!
¿No has dicho CPO que Safe Harbor se declaró invadido porque el Tribunal Europeo considera que no brindamos una protección equivalente, y por el hecho de que agencias como la NSA pueden acceder a los datos de todos, sin restricción alguna?
CPO: Es correcto, en muy resumidas cuentas, esa es la razón por la que nos retiraron la confianza.
CEO: Entonces, ¿cuál sería la diferencia? ¿Acaso las autoridades de cada país en Europa no pensarán igual y terminarán resolviendo que no pueden autorizar la transferencia porque los datos de los europeos no están seguros aquí? Escuché que en España son particularmente duros con esto de los datos personales, seguro que ahí no autorizan las transferencias si piensan igual que los jueces que dictaron esta sentencia.
CPO: No seré yo quien te diga que tengo certeza sobre la eficacia de las opciones que tenemos a la mano. Quizá funcionen, o quizá nos encontremos con obstáculos, pero no podemos quedarnos parados. Tenemos que reaccionar y, en todo caso, continuar con nuestras operaciones de forma cotidiana.
Por otro lado, a medio plazo, debemos considerar la posibilidad de adoptar en el Grupo unas Normas Corporativas Vinculantes (o BCRs). Ni siquiera voy a entrar en detalles al respecto, pues necesitaremos una reunión específica para analizar esta posibilidad, pero como no será pronto que saquemos adelante esas Normas, deberemos analizar esta posibilidad más adelante.
En Europa, nuestros asesores ya están preparando sus alternativas y pronto las tendremos sobre la mesa. Insisto: todo lo que hemos hecho hasta ahora ha sido sobre la base de la validez de Safe Harbor, pero ya no es una alternativa válida y debemos adaptarnos; esperando además que pronto terminen de negociar Safe Harbor II y que este asunto se resuelva pronto.
CEO: ¿Safe Harbor II? ¿Me estás diciendo que existe otro Safe Harbor?
CPO: En teoría, existirá. Se viene negociando desde hace tiempo, porque ya se venía diciendo que el que acaban de invalidar ya no era funcional, por muchos motivos.
Quizá la sentencia que nos tiene aquí reunidos consiga que las negociaciones se aceleren… o todo lo contrario. Yo no apostaría nada; pero una cosa sí es segura: nos han dejado con mucha incertidumbre y ahora tenemos mucho trabajo por delante, el negocio no se puede parar y el flujo de los datos es esencial. ¿Comenzamos?
CEO: De acuerdo, comencemos.
Iré al gimnasio para pensar cómo explicaré todo esto a los accionistas. Seguro que no se pondrán contentos.
[¿FIN?]
Héctor Guzman