Tal vez una historia acerca de una guerra comercial sobre la privacidad, “escudos” metafóricos y Donald Trump no llama la atención de la industria de eventos europea. Reconozcámoslo, el 2020 nos está dando muchos otros asuntos de los que preocuparnos.
Sin embargo, no todos los días un “movimiento audaz” del máximo tribunal de la UE tiene un impacto directo en los asistentes y sus datos personales.
El 16 de julio, el Tribunal de Justicia Europeo (TJCE) decidió invalidar el Escudo de Privacidad UE-EE.UU.: un acuerdo que permite a las empresas estadounidenses transferir y almacenar información de países pertenecientes a la Unión Europea.
La acción tiene amplias implicaciones, pero EventsCase está particularmente interesado en lo que dice sobre la seguridad de los datos de los eventos. Sin un acuerdo para proteger los datos que en estos se recopilan, podríamos correr un riesgo mayor de vulneraciones de datos, lo que llevaría a multas, a la pérdida de información y a un enorme daño de reputación. Lo explicamos a continuación con más detalle
¿Qué es el Escudo de Privacidad UE-EE.UU.?
El sistema de Protección de Privacidad UE-EE.UU. protege el comercio digital transatlántico para miles de empresas. Es uno de los principales acuerdos que se sitúa fuera del Reglamento General de Protección de Datos (RGPD), asegurando el flujo seguro de datos desde la UE a países no pertenecientes a la UE.
Toda empresa estadounidense que se adhiera al Escudo debe cooperar con los reguladores de protección de datos gracias a ciertas garantías que ofrece el marco en cuanto a la seguridad de la información. Hasta hace poco, ha proporcionado tranquilidad a las empresas con sede en Europa que albergan datos en los EE.UU.
Algunos no tienen ni idea de que su información viaja tan lejos. De hecho, el escenario más común en un contexto de eventos sería el uso de la tecnología para gestionar los registros, la facturación y la creación de aplicaciones móviles, con todos estos datos llegando a un servidor de EE.UU.
No hay que olvidar que la plataforma en sí podría ser “global”, y no todos los organizadores se dan cuenta de adónde va a parar la información de sus asistentes. A juzgar por nuestras investigaciones y conocimientos del mercado de la tecnología de eventos, esto es bastante común.
Los “escudos de privacidad” juegan un papel clave en la vigilancia del uso de sus datos, hasta que ellos mismos son cuestionados.
Max Schrems, un defensor de la privacidad austriaco, en 2018 impugnó el acuerdo en el TJCE. Argumentó que las leyes de seguridad nacional de EE.UU. no protegían adecuadamente a los ciudadanos de la UE de actos de “escucha de datos”. Después de dos años de deliberación, ganó.
El tribunal falló a favor de Schrems y su caso, por lo que el Escudo no es válido.
¿Cómo afecta esto a mi evento?
Una mayor invalidación de mecanismos como el Escudo de Privacidad podría ver el fin de una Internet verdaderamente sin fronteras. Aunque de forma acertada, el TJCE ha explicado básicamente el riesgo asociado con el almacenaje de información en los EE.UU..
Es oficial: no puedes garantizar que alguien no esté rastreando los datos de tus asistentes.
Según Confilegal, algunas empresas españolas ven con preocupación esta decisión. Otras están buscando Cláusulas Contractuales Estándar (CCE), que son individuales y hechas entre dos organizaciones. Sin embargo, ahora se piensa que la decisión tomada puede ser el final de estas también.
Todos los indicios apuntan a una reforma de las prácticas de vigilancia de EE.UU. para que se ajusten a las leyes de la UE. Los analistas se han quejado durante mucho tiempo de la falta de protección que se ofrece a las empresas que trasladan datos a los Estados Unidos. Sin embargo, considerando los conflictos previos del Presidente Trump con el RGPD y su fría relación con la UE, nos sorprendería que esto se convirtiera en una prioridad.
¿Qué deberías hacer al respecto?
Cualquiera que utilice una tecnología para el registro, facturación y gestión de eventos debería preguntarse ahora dónde están situados sus datos. Nuestras investigaciones muestran varios grandes nombres en el panorama de la tecnología de eventos alojando información en servidores de EE.UU., lo que podría dejar vulnerable esta información personal.
Una medida de salvaguarda sería buscar una cláusula en tu contrato que especifique dónde se almacenan tus datos. Si tu proveedor no desea incluir esto, podrías arriesgarte a una sanción financiera por parte de organismos de vigilancia y control como la Oficina del Comisionado de Información y, paralelamente, a un duro golpe a tu reputación.
Aparte de estas cuestiones, hay algo que se puede sacar de la confusión que rodea a todo este asunto.
Las empresas que aplican las CCE como medida a corto plazo no tienen ni idea de si pronto se considerarán no aptas.Es difícil que se detengan las transferencias de datos entre la UE y los EE.UU., principalmente porque las empresas están esperando una respuesta más detallada de la Comisión Europea y del Comisario de Información del Reino Unido.
Nuestro consejo sería pecar de precavidos y mantener tus datos lejos de los EE.UU., al menos hasta que estés seguro de su protección.
Los asistentes generan una gran cantidad de información personal identificable desde que se registran para un evento. Compañías como Yahoo y Equifax todavía se están recuperando de sus respectivos robos de datos. Millones de registros fueron a parar a las manos equivocadas. En un mundo donde la privacidad online está en el primer puesto de las preocupaciones de los consumidores, querrás evitar estar implicado en cualquier fuga potencial.
La noticia del colapso del Escudo podría parecer lo último que nuestra industria necesita en este momento. Pero a medida que los datos se vuelven más vitales para nuestras acciones, porque permiten la creación de experiencias personalizadas, el actual período de inactividad podría ser ideal para remendar algunas de las grietas de nuestra armadura.