Los wargames y las transferencias

Estamos todos expectantes de la salida de la nueva decisión de adecuación, en forma de transatlántico, que volvería a encauzar las transferencias internacionales de datos personales a Estados Unidos, al menos durante el tiempo que dure esta tercera intentona bastante idéntica a la anterior.

Dentro de esa expectativa, estamos todos en la parte superior con la bomba de 1.200 millones a META y la obligación de suspender las transferencias y la supresión de los datos de ciudadanos europeos en un plazo de 6 meses, debido a que no había garantías suficientes puestas sobre la mesa. Aunque META anda jugando con suspensiones concedidas por el juez competente irlandés por la salida del nuevo acuerdo este verano. Ya veremos cómo acaba el tema

Lo cierto es, que si nos ponemos en modo autoridad rigurosa con apoyo de aquel documento de salvaguardas y garantías adicionales del EDPB tras Schrems II, ¿alguien podría pasar el corte? ¿en un mundo globalizado y con datos replicados en varios servidores para garantizar disponibilidad y funcionamiento de mil servicios, se puede controlar o hacer cumplir a toda la ristra de subproveedores que tiene un encargado importador en USA?. ¿cuánto tardará Schrems en hundir el transatlántico estadounidense? ¿Alguien piensa en los otros terceros países divertidos: Rusia, China o India? o ¿alguna decisión de adecuación es una garantía real?

Esta última va más de coña, porque para mí todas tienes agujeros interesantes (post al respecto) y se sostienen en base a que todo el mundo haga lo que debe sin poder auditarlo bien, bien. Justo el mismo caso en el que nos encontramos los demás con el enfoque basado en el riesgo en cada caso (risk-based approach), y que a nivel de las autoridades de protección de datos no parece suficiente. También es verdad que llamarse ComisióN Europea te da más margen de actuación.

Aunque todos haríamos bien en recordar que el Tribunal Supremo nos recordó que la protección de datos no es una obligación de resultado de que nada salga mal, sino una obligación de medios para evitar posible que nada salga mal. STS 543/2022. Lo mismo que intentar garantizar al 100% la seguridad de lo que sea.

Lejos de responder a nada, voy con otro supuesto de tormenta perfecta: los “wargames” o “simulares de guerra” (no hablamos de los juegos de estrategia) en los que se ajustan lo máximo posible los modelados, comportamiento y parámetros reales de los tanques, aviones, armas etc que se recreen digitalmente y se usen por el jugador. Es decir, que se pone sobre la mesa el tipo de información clásica que durante toda la existencia de la humanidad se ha querido proteger a toda costa, y a costa de lo que sea: secreto de estado, secreto oficial, información clasificada u otros sinónimos rimbombantes que se usen por el mundo.

Como grandes ejemplos de este tipo de juegos, tenemos a World of Tanks, World of Warships, War of Thunder o la Saga Arma. Los tres primeros, desarrollados, editados y propiedad de empresas bielorrusa y rusa, respectivamente: Wargaming y Gaijin Entertaiment. Dos países divertidos en protección de datos, y en general. A estos países, por importancia creciente en tema videojueguil, habría que añadir China o India. No todos los problemas de mundo se concentran en Estados Unidos.

El ejemplo que justifica el preguntarse cosas de este tipo y escribir este post es el caso, un tanquista británico que filtra en un foro de War of Thunder el manual de operación de su querido tanque Challenger II para decirle con pruebas al desarrollador que había que cambiar x cosas para ajustarse al tanque real. Es decir, información clave que puede ser utilizada por los malosos para dejar fuera de combate, o, al menos, suponer un gran incordio al tanque principal actual del Reino Unido. Justo de los que se han enviado unos cuantos a Ucrania, y que a Rusia le podría interesar saber dónde están sus puntos débiles.

Voy a ir directamente al turrón para que no sea un post muy largo, pero si quieres leer sobre el contexto general de las transferencias internacionales aplicada en los videojuegos, lo puedes hacer en este otro artículo que me dejaron publicar en una revista especializada: Transferencias internacionales de datos personales: especialidad en los videojuegos.

1) ¿Qué es la información clasificada?

Toda aquella que las autoridades no quieren que conozca nadie, salvo las personas que estuvieran específcamente autorizados. A efectos aclaratorios, porque es bastante homogéneo a nivel mundial y lo patrio siempre se pìlla mejor, vamos con la tipología de esta información clasificada en España: secreto, reservada y confidencial

La Ley de secretos oficiales (una de las caídas en el limbo parlamentario por el adelanto electoral), es bastante parca, pero el anexo de la Orden ICT/1078/2019 del Ministerio de Industria nos viene al pelo. Se refería a la información clasificada en el ámbito de su competencia, pero las tres categorías de información y los supuestos, son extrapolables al resto de casos:

1.1) Secreto

  • Que puedan amenazar directamente la soberanía o integridad territorial de España;
  • Que puedan perjudicar gravemente el orden constitucional o la seguridad nacional;
  • Que puedan afectar gravemente el orden público, pudiendo ocasionarse una amplia pérdida de vidas humanas;
  • Que pueda afectar gravemente la capacidad de combate o la seguridad de las Fuerzas Armadas españolas o de sus aliados;
  • Que puedan mermar gravemente la efectividad o la seguridad de las misiones u operaciones de inteligencia del Estado o de sus aliados; o
  • Que puedan perjudicar gravemente las relaciones diplomáticas del Estado o situaciones de crisis o conflicto internacional, o cualquier otro cuya salvaguarda requiera de la más alta protección.

1.2) Reservado

  • Que puedan alterar el orden constitucional o la seguridad nacional.
  • Que pueda producir serias alteraciones del orden público o de la seguridad o libertad de los ciudadanos;
  • Que pueda alterar la capacidad de combate o la seguridad de las Fuerzas Armadas del Estado o de sus aliados;
  • Que pueda producir un detrimento de la efectividad o la seguridad de las misiones u operaciones de inteligencia o de los servicios de información del Estado o de sus aliados;
  • Que puedan alterar las relaciones diplomáticas del Estado o situaciones de crisis o conflicto internacional;
  • Que pueda perjudicar de forma grave los intereses económicos o industriales de carácter estratégico; o
  • Cualquier otro cuya salvaguarda requiera de un alto grado de protección.

1.3) Confidencial

  • El efectivo desarrollo de las políticas del Estado o el funcionamiento del sector público;
  • Las negociaciones políticas o comerciales del Estado frente a otros terceros Estados;
  • Los intereses económicos o industriales, medioambientales o energéticos del Estado;
  • El funcionamiento de los servicios públicos.
  • La investigación de delitos, pudiendo dificultar la misma o facilitando su comisión de delitos; o
  • Cualquier otro cuya salvaguarda requiera protección.

Ya se ve que es bastante interpretativo el tema, o sea, como le gusta a lo público para ir con margen y red de seguridad, En lo que nos interesa por el tema, pues las más obvias son las subrayadas por su posible afectación al ámbito militar, pero quién sabe en el caso a caso. La diversión con banderas puede venir en que esa filtración de nada de un tanquista tonto que pareciera que no iba a llegar a ningún sitio, acabe en manos de algún insurgente, terrorista o peor que es jugador de este tipo de juegos para estar al quite de estos tontainas.

A esta ley le falta la categoría de “difusión limitada”, pero solo se comenta por ser completista.

2) ¿Cuál es el problema con esta información clasificada?

Volviendo al ejemplo de base del tanquista británico, le caería la del pulpo con el delito que supone la revelación de información clasificada, pero las pregunta que surgen en protección de datos son ¿las autoridades de defensa en virtud de la normativa de seguridad nacional puede exigir el acceso al conjunto de datasets del juego almacenados en servidores en sus estados?, ¿la instalación de sistemas de escaneo o puertas traseras?, el rastreo temporal o permanente de determinado jugadores (lista negra)?.

Este tipo de riesgos que obsesionan un poco a Estados Unidos, pues pueden estar ahí para todos los estados del mundo que tienen normativa de seguridad nacional y ejército propio.

No olvidemos aquella famosa hipótesis (que ya sale en series tipo Jack Ryan) de terroristas comunicándose en clave en chats de determinados videojuegos para eludir el control de vías más convencionales que hacen las NSA, CIA y demás, en los atentados de Bruselas.  Hasta la UE se marcó un informe con la posibilidad de que fuera una vía utilizada para comunicarse o captar integrantes.

2.1) Vale, pero ¿qué potestad de actuación tendrían las autoridades para proteger esta información clasificada?

Pues amplia también. Empezando por la patria, nuestra parca ley de secretos oficiales se desarrolla por el Decreto 242/1969. Como también es de la época de Paco tiene ejemplos de formatos de información y documento de su generación y puede que hasta ininteligibles para algunos de la época: “matrices, composiciones tipográficas, piedras litográficas, grabados en película cinematográfica, bandas escritas o perforadas, la memoria transistorizada de un cerebro electrónico”.

Lo que nos interesa, está en el artículo quinto:

“si en un Organismo, Entidad o Servicio, sea Autoridad encargada de hacer la calificación, sea depositario de materias clasificadas, se comprobase una revelación no autorizada o el extravío de documentos o material, la máxima jerarquía de aquéllos deberá ordenar se proceda, con carácter de máxima urgencia, a hacer las averiguaciones pertinentes, tanto para fijar las responsabilidades a que hubiere lugar, que habrán de atribuirse, siempre que sea posible, a persona determinada individualmente y no al cargo o función que desempeñare, como para la recuperación del documento o material extraviado.

Siguiendo con las de tres países concetos: Rusia, China e India. No se pusieron en la introducción por casualidad, sino porque son las tres alternativas de proveedores con acceso a datos personales a Estados Unidos más potentes , y porque el Comité Europeo de Protección de Datos (EDPB) ya advirtió que ojo cuidado con estos tres en un informe encargado.

¿Y qué pasa con la Ley Robocop?

La Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales?; o a la que me gusta llamar “Ley Robocop”.

Art 2.3.d: “Quedan fuera del ámbito de aplicación de esta Ley Orgánica los siguientes tratamientos de datos personales: Los sometidos a la normativa sobre materias clasificadas, entre los que se encuentran los tratamientos relativos a la Defensa Nacional.”

Del artículo 2.3.d parecería que no es de aplicación a lo que nos ocupa, pero….¿se podría estirar el chicle y vender la moto?.

Con el amplio margen de maniobra de la seguridad nacional quién sabe, pero podría ser un triple largo desde la otra canasta al no ser un tratamiento de datos personales propio y específico para alguna actividad o elemento de la Defensa Nacional; sino para un tratamiento de datos personales que se suma como consecuencia de que la información clasificada ya no lo es tanto.

Es cierto, que no nos estamos refiriendo al hecho concreto y supuesto principal de esta ley de la investigación y enjuiciamiento de la persona responsable (comisión de un delito de descubrimiento y relevación de secreto sobre defensa nacional del 598 del CP) y la prevención contra la “seguridad pública” aka “seguridad ciudadana” aka “fuerzas y cuerpos de seguridad”, sino de la petición de acceso indiscriminado, puertas traseras, escaneos o selección de personas para rastrear.

2.2) Estados Unidos

La que más “clara” tenemos todos por haberse tumbado dos decisiones de adecuación que determinaban que era un país fuera de la UE seguro para los datos, aunque el Tribunal de Justicia de la UE y las autoridades de protección no lo consideren como tal.

La problemática del acceso de las autoridades por temas de seguridad nacional a los datos personales gestionados por proveedores norteamericanos, se basa en dos normas principales. Se podría añadir la famosa “Cloud Act” relativa a los servicios en nube, pero no vamos a liarla tanto.

  • Sección 702 of the Foreign Intelligence Surveillance Act (la famosa FISA); y
  • La Orden Ejecutiva 12333.

Cuando el TJUE se fundió el  acuerdo del Privacy Shield por considerar que no había garantías adecuadas, el Departamento de Comercio, el Departamento de justicia, y la Oficina de Inteligencia Federal, se sacaron de la chistera el famoso documento “Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II“, en el que se aclaraban e intentaba quitar hierro sobre determinados puntos:

  • Que la normativa norteamericana no permitiría una captación y análisis de toda la información de ciudadanos no norteamericanos transferida, sino que se limitaría a determinados selectores concretos sin palabras claves genéricas o nombres personales;
  • Que la petición, acceso y control se realiza en base a un procedimiento tasado legalmente, autorizado y controlado por el Tribunal de Vigilancia de Inteligencia Extranjera (“FISC”);
  • Que las empresas a las que se les ha solicitado información de este tipo son una ínfima minoría y que la mayor parte no interesan a estos efectos; o
  • Que todos los estados del mundo, y los de la UE, recopilan igual información con fines de inteligencia fuera de sus territorios. Verdades incómodas e hipócritas del mundo en lo tocante al tema de seguridad nacional y el juego de poder, en sí.

    “Ningún país reconoce los lugares concretos ni los detalles operativos de sus actividades clandestinas de inteligencia en el extranjero. Muchos países ni siquiera regulan dichas actividades por ley, incluidos alguno Estados Miembros de la UE”; o “El Gobierno de EE.UU. comparte con frecuencia información de inteligencia con los Estados miembros de la UE de la UE, incluidos los datos revelados por las empresas en respuesta a las órdenes FISA 702, para contra amenazas como el terrorismo, la proliferación de armas y la ciberdelincuencia extranjera hostil”.

En vista del nuevo acuerdo que a fecha de publicación de este post está al caer la propia decisión de adecuación ( y por el lado yanki también se está corriendo) que vuelva a poner a Estados Unidos en el mapa de los niños buenos, se dictó una nueva Orden Ejecutiva 14086 con garantías adicionales:

  • Valoración caso a caso de si es necesario y proporcional con el objetivo de meter la mano en los datos;
  • Solo para lo siguiente. Aunque ese “solo” es de esos que te puede caber lo que sea:
  • Comprender o evaluar las capacidades, intenciones o actividades de un gobierno extranjero, un ejército extranjero, una facción de una nación extranjera, una organización política….., con el fin de proteger la seguridad nacional de Estados Unidos y de sus aliados y socios;
  • Comprender o evaluar las capacidades, intenciones o actividades de organizaciones extranjeras, incluidas las organizaciones terroristas internacionales, que supongan una amenaza actual o potencial para la seguridad nacional de Estados Unidos o de sus aliados o socios;
  • Comprender o evaluar las amenazas transnacionales que afectan a la seguridad mundial, incluidos el cambio climático y otros cambios ecológicos, los riesgos para la salud pública, las amenazas humanitarias, la inestabilidad política y la rivalidad geográfica;
  • La protección contra las capacidades y actividades militares extranjeras;
  • Protección contra el terrorismo, la toma de rehenes y la retención de personas cautivas;
  • Protección contra el espionaje, sabotaje, asesinato u otras actividades de inteligencia realizadas por, en nombre de o con la ayuda de un gobierno extranjero, organización extranjera o persona extranjera;
  • Protección contra las amenazas derivadas del desarrollo, la posesión o la proliferación de armas de destrucción masiva o tecnologías y amenazas conexas realizadas por, en nombre de o con la ayuda de un gobierno extranjero, una organización extranjera o una persona extranjera;
  • Protección contra las amenazas a la ciberseguridad creadas o explotadas por un gobierno extranjero, una organización extranjera o una persona extranjera, o contra las actividades cibernéticas maliciosas llevadas a cabo por un gobierno extranjero, una organización extranjera o una persona extranjera o en su nombre;
  • Protección contra amenazas al personal de Estados Unidos o de sus aliados o socios;
  • Protección contra las amenazas criminales transnacionales, incluidas las finanzas ilícitas y la evasión de sanciones;
  • Protección de la integridad de las elecciones y los procesos políticos, la propiedad gubernamental y la infraestructura de Estados Unidos;
  • Mejora de las capacidades o actividades operativas o de recopilación para promover un objetivo legítimo identificado en este listado.”

Garantías que al propio EDPB le parecieron insuficientes en el dictamen preceptivo que hicieron sobre el borrador de decisión de la Comisión Europea. No solo porque se copie la obligación de que los proveedores estadounidenses se sumen al marco creado o certifiquen, sino porque falta explicación de la “recogida masiva temporal” y la posterior conservación y difusión de los datos recogidos por el ordenamiento jurídico USA o el maremágnum de dudoso funcionamiento de las 7 vías de recurso que ya estaban con el anterior acuerdo derogado.

Luego nos podríamos meter en si también afectaría a los proveedores estadounidenses con los datos almacenados en la UE, o qué pasa con la Cloud Act mencionada. No es el objeto de este post, pero en nuestro corazón todos sabemos que daría igual. Transferencia es lo que sale fuera, pero también lo que está aquí y se accede desde fuera. Así que ojo con las medidas de cara a la galería de que puedes marcar que estén en sus servidores europeas y todo guay (además, en la letra pequeña se suele incluir que no todo se almacenaría en la UE por mucho que lo pidas).

…………………….

El Prof. Stephen I. Vladeck de la facultad de derecho de la Universidad de Texas expone, en su documento de opinión emitido por encargo de la Confederación de Autoridades Alemanas de Protección de Datos (DSK): Expert Opinion on the Current State of U.S. Surveillance Law and Authorities“, que cabría esta duda. Punto 6, pág. 10:”Where the target is a non-U.S. person reasonably believed to be outside the United States, and the electronic communication service provider is a U.S. company, there certainly appears to be an argument that section 702 would apply to data stored on European servers — and that the compliance regime outlined above could be used to compel cooperation even with respect to data stored overseas.”

……………………………

En lo que nos interesa hoy, habemus otra vez una competencia amplia que cabría por varios supuestos. Con el agravante de la urgencia imperiosa por tapar información militar.

2.3) China

País divertido con una normativa de protección mejor redactada de lo que se podría esperar, pero con importantes agujeros bien puestos para lo público. Por ejemplo, que la administración pública se ajustará a esta ley, en tanto en cuanto, no haya otra ley especial aplicable, o que las peticiones de autoridades extranjeras por motivo de seguridad o lo que sea, a un proveedor chino, deben pasar por el estado para autorizarlo o no.

De la ley de protección de datos china, por Secuoya Group está el comentario que hice en el momento en el que tuvimos conocimiento de su existencia desde fuera del dragón chino.

En materia de seguridad nacional, La “Dictadura Democrática Popular” tiene una tríada de leyes: Ley de seguridad nacional, Ley nacional de inteligencia (PRC) y Ley de contrainteligencia o contraespionaje  La referencia de la dictadura no es por lo obvio, sino que es el concepto sacro de su normativa es este que por aquí nos parecería un contrasentido.

Esta triada de normas es bastante parca y amplia en las competencias que podría tener el estado chino:

  • Definición amplia de seguridad nacional: . Cabe todo. Artículo 2 de la ley de seguridad nacional.

“la ausencia relativa de amenazas internacionales o internas al poder del Estado para gobernar, la soberanía, la unidad y la integridad territorial, el bienestar de la población, el desarrollo económico y social sostenible y otros intereses nacionales importantes, así como a la capacidad de garantizar un estado de seguridad continuado.”

  • Reconocimiento del posible toqueteo de información sin mucho desarrollo o límite: Artículo 59 de la misma ley.

“El Estado establece sistemas y mecanismos de gestión de la revisión y supervisión de la seguridad nacional, llevando a cabo la revisión de la seguridad nacional de las inversiones comerciales extranjeras, artículos y tecnologías especiales, productos y servicios de tecnología de la información de Internet, proyectos relacionados con asuntos de seguridad nacional, así como otros asuntos y actividades importantes, que afectan o podrían afectar a la seguridad nacional.”

  • Reconocimiento más específico del toqueteo: en el artículo 32 de la ley de contraespionaje ya se mencionan los secretos de estado, que te pueden registrar de todo y consecuencias legales:

En el caso de las personas que posean ilícitamente documentos, materiales y otros artículos que constituyan secretos de Estado, así como de las que posean o utilicen ilícitamente equipos especiales de espionaje, los órganos de seguridad del Estado podrán registrar su persona, sus artículos, su residencia y otros lugares pertinentes de conformidad con la ley, y confiscar los documentos, materiales y otros artículos que constituyan secretos de Estado que posean ilícitamente, así como los equipos especiales de espionaje que posean o utilicen. Cuando la posesión ilícita de documentos, materiales u otros objetos que contengan secretos de Estado constituya un delito, se perseguirá la responsabilidad penal conforme a la ley; cuando no constituya un delito, los órganos de seguridad del Estado amonestarán o impondrán una detención administrativa de hasta 15 días.”

  • Obligación de cooperación ciudadana: las tres leyes se suman a establecerlo de manera concreta. La ley de seguridad nacional determina en el 77 que toca aportar las pistas o “aportando con veracidad las pruebas de que tengan conocimiento relacionadas con actividades que pongan en peligro la seguridad nacional”

En resumen de que pinta mal de manera visual, el cuadro del resumen de conclusiones del doc citado del EDPB.

2.4) India

El país de Gandhi y patria de unos cuantos servicios de IT y de desarrollo de videojuegos por encargo (subcontrata, Lisa, subcontrata), asistencia o mil formas de tecnología no se queda muy atrás de China en este tema.

Aquí tenemos dos leyes interesantes:

-La Ley Aadhaar que en esto nos importan menos, pero que es un misil nuclear en materia de protección de datos general: la obligación de tener un identificador biométrico público para poder acceder a cualquier beneficio servicio o subsidio público. No será porque los chinos tienen reconocidos facialmente a sus ciudadanos (las “farolas” “caídas” en Hong Kong que hacían más cosas que alumbrar).

-La Ley de tecnología de la información que determina dos cosas interesantes:

  • Competencia amplia del estado para ordenar meter mano en la información de tráfico de cualquier fuente que pase por allí por motivos de ciberseguridad nacional y ya. Ojo a lo de “funcionario especialmente autorizado” Art 69:

Cuando el Gobierno Central o un Gobierno Estatal o cualquiera de sus funcionarios especialmente autorizados por el Gobierno Central o el Gobierno Estatal, ……………., en interés de la soberanía o la integridad de la India, la defensa de la India, la seguridad del Estado, las relaciones amistosas con Estados extranjeros o el orden público o para prevenir la incitación a la comisión de cualquier delito cognoscible relacionado con lo anterior o para la investigación de cualquier delito, podrá…………………, ordenar a cualquier organismo del Gobierno competente que intercepte, controle o descifre o haga que se intercepte o controle o descifre cualquier información generada, transmitida, recibida o almacenada en cualquier recurso informático.”

  • Unas minipautas de que la petición debe ser por escrito y destruido a los 6 meses. Sería el 1º estado del mundo que no se guarda cosas porque viene bien.
  • Obligación, so pena de delito de hasta 7 años de prisión y multa para los “intermediarios” aka proveedores indios. Mismo artículo:

“con respecto a cualquier registro electrónico concreto, cualquier persona que, en nombre de otra persona, reciba, almacene o transmita dicho registro o preste cualquier servicio con respecto a dicho registro, incluidos los proveedores de servicios de telecomunicaciones, los proveedores de servicios de red, los proveedores de servicios de Internet, los proveedores de servicios de alojamiento web, los motores de búsqueda, los sitios de pago en línea, los sitios de subastas en línea, los mercados en línea y los cibercafés.”

En resumen, el cuadro que corresponde de aquel estudio:

2.5) Rusia

Desde la tierra por excelencia de los bosques nevados y el regusto a guerra fría, nos interesa dos leyes con unas obligaciones concretas: Ley de localización de datos (242-FZ), Ley de contraterrorismo aka Ley Yarovaya (o casi mejor, Baba Yaga)

  • Obligación de que los proveedores rusos tengan los datos de ciudadanos rusos almacenados en Rusia. La obligación no afectaría al resto de proveedores no rusos, pero ahí ya tenemos un punto que obligaría a tener cositas en Rusia a las que poder acceder: Art 18.5:

“Durante la recogida de datos personales, por ejemplo a través de la red de información y telecomunicaciones “Internet”, el operador garantizará el registro, la sistematización, la acumulación, el almacenamiento, la precisión (actualización, modificación) y la recuperación de los datos personales de los ciudadanos de la Federación Rusa a través de bases de datos situadas en el territorio de la Federación Rusa.”

  • La nueva KGB: obligación de los operadores de teleco de proporcionar a la nueva KBG información sobre la recepción, envío y demás de mensajes, conservaciones, audios, vídeo o sonido de los usuarios cuando se les requiera. Art 64.1:

“los operadores de telecomunicaciones está obligados a proporcionar a los organismos estatales autorizados que realicen actividades operativas y de investigación, garanticen la seguridad de la Federación Rusa la información especificada, la información sobre los usuarios de los servicios de comunicación y los servicios de comunicación que se les prestan y otra información necesaria………..”

  • La de la guerra fría: El nuevo KGB puede meter mano a los operadores de distribución de datos mediante la obligación de instalar una puerta trasera para que la nueva KBG entre sin tener que pasar por autorización judicial o notificación al propio operador. Esta última que se referencia tranquilamente en ese informe no se puede confirmar al no estar accesibles versiones traducidos o accesibles de la propia normativa que lo regula, aunque es bastante plausible.

Su cuadro resumen a juego:

Aplicación al caso: SCCs y TIAs

Todo lo anterior nos lleva a la frontera de lo inexplorado que son las transferencias internacionales. Ese Rubicón a partir del cual ya no tenemos un control e información completa de esos datos personales de los que somo responsables.

Y dentro de ese entorno de peligro sancionatorio, podríamos hablar de manera separada de las SCCs (Cláusulas Contractuales Tipo con el importador de los datos en el país divertido), y de las TIA (Evaluación de impacto en transferencias), pero la redacción de las actuales SCCs de junio de 2021 lo enlaza todo en sus cláusulas 14 y 15.

Como recordaba el EDPB en su documento de salvaguardas adicionales, el juego estaría en países que solo tienen alguna norma problemática, pero que su ordenamiento jurídico en sí es equivalente y tiene garantías. ¿China, Rusia o India con lo visto estaría en este grupo, o ni si quiera merece la pena hacer la ponderación o TIA? ¿Sin meter el tema de información clasificada, secreta o reservada, estarían los países que nos interesan con lo visto en el grupo de bien, pero solo con alguna cosa rara? ¿Estados Unidos es el menos chungo de su barrio?.

Aplicando todo lo visto, casi Estados Unidos sería el única que podría llegar a plantearse, pero habría que pasar el juicio del alma pura que esas cláusulas 14 nos hace firmar para confirmar que todo esta bien. Ese punto que en la vida real casi nunca esta bien, pero aquí no veo que nunca pudiera estarlo.

Por recordar lo que habría que conseguir:

  • Tener una valoración exhaustiva de la normativa de seguridad nacional y competencias de las autoridades, garantías del importador, los subproveedores y sus circunstancias o naturaleza de los datos… que, bien hecha, determine que no existe riesgo o que hay garantías concretas. Aquí la naturaleza de los datos es más bien nuclear. Nuclear en el sentido de que afectaría a todo el conjunto de datos de los jugadores de este tipo de juegos, y nuclear en el sentido de que el bombazo va cargado;
  • Que la entidad en ese país se comprometa a informar si va a poder cumplir o desde cuándo no va a poder hacerlo por obligación legal; o
  • Que informe si las autoridades vienen a por los datos, si no puede que se revuelva contra la prohibición y que se revuelva y recurra para no soltar la información Y también que dé informes periódicos de los accesos que ha tenido y lo que ha dado, si puede. ¿y no tienes ningún margen de maniobra y está todo prohibido?

Puede que alguno esté pensando que, para el ejemplo dado como mecha, más en base a Estados Unidos, no ameritaría una petición de nada porque la información estaría publicada en un foro público y luego con medios propios rastrearle por doquier. Y eso sería cierto, pero el enfoque esa otra petición de acceso comentada, que no va a enjuiciar al apersona que siempre se podrá, sino intentar “controlar” de manera invasiva a varios perfiles sospechosos, o intentar “garantizar” que en ese juego no vuelva a colarse nada.

Conclusiones

Poca cosa esta vez, más allá de que me parece el supuesto de tormenta perfecta (ciclogénesis explosiva, en terminología meteorológica). Si la propia transferencia a terceros países ya es chunga, pues esta ya insalvable.

En el caso de Estados Unidos se podría la editora medioesconder detrás del futuro acuerdo de transatlántico cuando entre en vigor y se dé alta en el propio sistema, pero para China o Rusia la Comisión Europea no ha tirado un flotador temporal. Y en el 1º caso habría que verlo, por recordemos que no es un listado de empleados de una newsletter interna, sino algo que les interesa a todos por seguridad nacional, y que por la naturaleza del juego es el núcleo de su actividad y transferencias.