Grandes empresas vuelven a estar en el ojo del huracán, al memos en el viejo continente. Y es que el Supervisor Europeo de Protección de Datos (SEPD) (organización independiente que supervisa el tratamiento de datos personales por parte de las instituciones de la UE) está estudiando si los distintos entes y organismos de la Unión Europea protegen eficazmente los datos personales al usar servicios de almacenamiento en la nube. Y en este situación salen a la luz los casos de Azure de Microsoft, pero también de AWS de Amazon.
Son dos de las grandes plataformas (falta Google) que a nivel mundial se encargan de controlar el tráfico, gestión y almacenamiento en la nube. Y aparecen ahora como el centro de una noticia en el que están involucradas junto a distintos organismos de la Unión Europea.
Proteger los datos aquí y en los Estados Unidos
Una investigación que es consecuencia directa de la sentencia Schrems II (nombre que proviene del usuario de Facebook Maximiliam Schrems). Se trata de una resolución que trata de de obstaculizar el trasvase de datos de usuarios desde Europa a los Estados Unidos, que es donde estas dos grandes empresas tienen sus sedes.
La sentencia Schrems II lo que hace es declarar inválido el Escudo de Privacidad (Privacy Shield), un sistema que fue diseñado por Estados Unidos, la Unión Europea y Suiza para garantizar la integridad de los datos cuando son transferidos desde Europa a Estados Unidos.
Se trata de una decisión judicial del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, en el caso Facebook Ireland y Schrems que ha provocado que las autoridades de protección de datos deban adaptar sus directrices teniendo en cuenta que "toda transferencia de información de datos a los Estados Unidos que se basara en el Escudo de Privacidad requiere de otras garantías adecuadas desde el mismo día de la publicación de aquella" según citan en ElDerecho.com.
El objetivo es evitar que empresas y autoridades en suelo americano puedan acceder a los datos almacenados en la nube y por eso el máximo organismo de control de la privacidad examinará los llamados contratos "Cloud II" acordados entre la UE y Microsoft o Amazon para el uso de sus servicios en la nube
En palabras de Wojciech Wiewiórowski Supervisor Europeo de Protección de Datos, esta investigación busca evitar que "cuando las Instituciones de la Unión Europea utilizan Azure y AWS la información personal de los individuos puede ser enviada a Estados Unidos".
Añade que, a menos que se tomen las medidas adecuadas según el reglamento General de Protección de Datos (RGPD) para proteger la transferencia de datos, existe el riesgo de vigilancia por parte de las autoridades.
Esta investigación busca determinar si alguna organización europea que haga uso de una de estas dos plataformas, puede estar permitiendo que lleguen a los Estados Unidos datos personales de clientes o empleados.
Microsoft Office 365 en la lupa
Pero no sólo AWS o Azure están en el ojo del huracán, sino que servicios como Microsoft Office 365 también son objeto de investigación. Se trata de comprobar si la Comisión Europea ha atendido a las recomendaciones emitidas desde el SEPD sobre el uso de productos y servicio Microsoft por parte de las instituciones de la Unión Europea. Y es que más de 45.000 trabajadores de las instituciones de la Unión Europea son usuarios de productos de Microsoft.
Según Wojciech Wiewiórowski, "hemos identificado ciertos tipos de contratos que requieren una atención especial y por eso hemos decidido poner en marcha estas dos investigaciones".
Dos investigaciones que crecen sobre la base de la citada sentencia, donde se concluye que las leyes estadounidenses no garantizan el mismo nivel de protección de datos que sí que establece el Reglamento General de Protección de Datos (RGPD) de la UE. Y aunque en Europa los datos de las personas estén adecuadamente protegidos, no ocurre lo mismo una vez llegan a Estados Unidos.
Una situación que permite que las autoridades estadounidenses puedan acceder a los datos de usuarios de servicios en la nube estadounidenses, incluso si esos datos se encuentran en el extranjero.
El objetivo final de la investigación abierta por el SEPD, es ayudar a los entes europeos a mejorar el cumplimiento de la protección de datos al negociar los contratos con su proveedor de servicios y evitar que servicios ampliamente usados como Azure y AWS, puedan enviar información desde Europa a los Estados Unidos sin que cumplan con el GDPR para proteger la transferencia de datos.
Vía | ZDNet
Ver 1 comentarios