Lo llaman “sesgo del coste hundido”: como ya perdí medio fin de semana en estudiarme la sanción de la DPC a TikTok en su día, no podía no hacer lo mismo con la sentencia de la semana pasada que la revisó.

(By the way, es vergonzoso decir esto, pero se entienden mucho mejor las sentencias británicas y norteamericanas en inglés, que las españolas en legalés).

Empezando por el final: el Irish juez Rory Mulcahy ratificó la sancionzaca de 530 millones de euros a TikTok, pero anuló las medidas adicionales: principalmente la suspensión de transferencia internacionales, devolviéndola a la DPC, para que vuelva a pronunciarse. Al final del post explico exactamente sobre qué.

¿Por qué?

Sustancialmente, al resolver en (muy) distinto sentido la alegación fundamental de TikTok, que era la misma: invertir la carga de la prueba (que /debía probar la DPC, no TikTok)

(i) el incumplimiento de la regulación de transferencias internacionales y

(ii) la efectiva capacidad de la matriz china para identificar a los interesados desde China (el personal de soporte IT accedía desde China a los datos alojados en Singapur).

De esta forma, se han fundido en una sola, dos de mis principales obsesiones majaras de los últimos años: las transferencias internacionales y la doctrina SRB / Scania.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¿De dónde venimos?

Digámoslo sin ambages, que no es la primera vez:

Todas las empresas incumplen la regulación de transferencias internacionales del RGPD cuando exportan datos a un tercer Estado que no ha sido “declarado adecuado”.

¿Por qué?

Dos razones

a.- Porque el estándar normativo de equivalencia exigido es materialmente imposible de cumplir.

Y no porque las empresas no hayan echado horas generando papel: el problema está en un doble factor lejos, muy lejos de su control:

a.1.- Por una parte, la legislación y prácticas de las autoridades del país importador son las que son -es decir, simplemente no cumplen el estándar de protección “esencialmente equivalente” europeo- y nunca ninguna estipulación entre privados ha compensado eso.

Por el amor de Dios, ¿Acaso cumplen ese estándar los estados “declarados adecuados” como UK, Canadá o Argentina? (No me mencionen a EEUU o Israel, que me da la risa).

La regla se cumple incluso dentro de Europa: se pueden encontrar casos en la propia jurisprudencia del Tribunal Europeo de Derechos Humanos en los que un estado miembro de la UE ha espiado a ciudadanos de otro.

a.2.- Este déficit estructural y ubicuo simplemente no puede ser compensado efectivamente por cláusulas contractuales (ni cláusulas corporativas vinculantes) ni por medidas organizativas ordinarias.

Esto lo conté en forma de cuentos: Hay un “guisante” de carácter público que ni todos los colchones privados del mundo pueden cubrir ni compensar.

b.- Porque el estándar de verificación de la legislación y prácticas impuesto por el EDPB no deja más opciones de cumplimiento que el cifrado duro (ilegible desde la orilla del importador), sin oportunidad para el risk based approach o consideraciones sobre cada flujo de exportación específico de datos.

Entonces ¿Pasamos de todo y que “viva el vino”?

La conclusión de todo esto no es, no puede ser “pues que viva el vino”.

Espóiler: esta ha sido la conclusión dominante hasta la fecha.

El vino, o alguna de sus variantes abstemias: la “crónica ausencia de TIAs” (reconozcámoslo: son muy complicadas de hacer) o las “clónicas TIAs carentes de matiz” y sin análisis normativo que las soporten han sido la tónica habitual. En el mejor de los casos.

Dicho esto, el vino no es una opción tan loca si tenemos en cuenta el precio que cobran los despachos internacionales por hacer el análisis normativo de cada país importador, que es el soporte clave para la TIA.

Y el resultado: sus TIAs son como trucos de mago chungo: literalmente siempre el mismo conejo con distinto collar.

Es obvio hoy que esta opción (la llamaremos la “opción Cardhu” se consigue mucho más rápido y por mucho menos hoy con la ayuda de IA.

¿Qué ha cambiado? Ya llegamos, ya llegamos a lo de TikTok

Afortunadamente, ya vamos teniendo resoluciones judiciales sobre el tema, no sólo de autoridades de cumplimiento.

Ya tenemos nociones mucho más claras de “lo que no funciona” y de “lo que funiona”

Hay dos cosas distintas aquí:

a.- La empresa exportadora (o importadora) poco pueden hacer si el Estado importador no ofrece un marco adecuado, como hemos visto.

b.- Pero ¡amigo! la accountability no desaparece (como argumenta espectacularmente el juez Rory Mulcahy en su sentencia.

Aunque la empresa no pueda arreglar la legislación extranjera, sí debe analizar si esa legislación aplica realmente a su flujo concreto, si existe posibilidad de acceso, qué actores pueden acceder, para qué fines… y determinar y aplicar las medidas pertinentes en su mano para reducir el riesgo.

TikTok se agarró con manos y pies al risk based approach y alegó ante la DPC y ante la autoridad judicial que le correspondía hacer a la DPC lo que ella misma no hizo: realizar un assessment que acreditara la existencia de riesgo en general, y en particular en su flujo de datos.

La carta de la “inversión de la carga de la prueba” no funciona en este caso porque -y así lo dice el juez literalmente-, el riesgo se asesora a priori, y TikTok hizo un pobre trabajo en este sentido.

TikTok no abordó adecuadamente el riesgo de que el procesamiento ocurra físicamente en ordenadores dentro de China, lo que sitúa esa actividad bajo la soberanía y jurisdicción directa de sus autoridades.

Esta es la bofetada que volvió a recibir TikTok en plena cara: por simple accountability, no puedes pretender que la DPC haga el trabajo que tú no hiciste correctamente en su momento.

Ratificación judicial de la sanción.

La DPC en la sanción impugnada despachó para siempre lo de las TIAs complacientes y las “medidas adicionales” de pega.

TikTok tenía SCCs, tenía informes jurídicos, cifrado, medidas técnicas y organizativas avanzadas (el “Project Clover”), y todo eso no bastó porque el problema real era el acceso remoto desde China por personal situado en China a datos de usuarios europeos almacenados fuera de China.

Medidas adicionales

Ante el tribunal, TikTok ha conseguido revertir, no la sanción, pero sí las medidas adicionales impuestas (la suspensión de las transferencias de datos, que no es poco) esgrimiendo fundamentalmente dos argumentos:

1.- El principio de territorialidad (si los datos están fuera de China, el gobierno chino no tiene jurisdicción legal para exigirlos). Esto ya fue alegado in extenso ante la DPC, y seguramente será desestimado de nuevo.

Lo que el órgano judicial impone la evaluación de un (¡tercer!) informe aportado por TikTok que la DPC se negó a considerar, por extemporáneo.

2.- Falta de motivación sobre el “Proyecto Clover”: TikTok implementó un conjunto de medidas técnicas y de gobernanza (Proyecto Clover), incluyendo seudonimización avanzada y el uso de un tercero independiente (NCC Group) para auditar los flujos de datos. La DPC rechazó estas medidas, pero no proporcionó argumentos técnicos ni legales sobre por qué consideraba que la seudonimización era ineficaz para prevenir una eventual reidentificación de los usuarios por parte del Estado chino.

De facto, el Tribunal irlandés ha impuesto una inversión de la carga de la prueba en términos del test de identificabilidad sobre la DPC.

Ese es el tuit.

En el caso TikTok, pues, se dan la mano dos de mis temas favoritos: la doctrina SRB / Scania y las transferencias internacionales de datos.

Pero es domingo cuando escribo esto y ya apetece cañufla.

Podemos hacer un balance ejecutivo y útil para quien haya estado (o ejem, siga) en la opción vino, le dé pereza la opción Cardhu y however tenga curro por hacer en sus flujos internacionales.

Lo que no funciona:

· Nunca han funcionado las pataletas (los argumentos que pretenden justificar en la imposibilidad material de cumplimiento, su cumplimiento meramente formal o ni eso “porque es lo único que se puede hacer”). Todos hemos estado ahí alguna vez.

· No funciona invocar las SCCs como si fueran agua milagrosa o un sortilegio de Harry Potter.

· No funciona esconder el riesgo decisivo -el acceso remoto a datos “en claro”, sin cifrar- tras fórmulas ambiguas sobre dónde “se almacenan” los datos o lo poco que dura el acceso rollo “el acceso es efímero”.

· No funciona alegar cifrado cuando el proveedor necesita impepinablemente descifrar para operar.

· No funciona ampararse en consentimientos abiertos o únicos del interesado para transferencias continuas y recurrentes.

· Y, en general, no funciona la idea de que basta con que la reidentificación, el acceso o la comunicación estén “prohibidos” en abstracto si en el mundo real siguen siendo materialmente posibles: es una lógica compartida con la doctrina Scania y seudonimización: la prohibición legal no puede eliminar por sí sola el riesgo real ni permite ignorarlo.

Lo que funciona

Así las cosas, sí funcionan para mitigar la sanción determinados argumentos, pero en un sentido limitado.

· Tatúense esto: El mayor riesgo no es tener una TIA insuficiente (una TIA por definición es insuficiente, como hemos repetido catorce veces antes), sino no tener ninguna TIA.

· Funciona el risk based approach. El juez dice “I do not rule out the possibility that a supervising authority might nonetheless conclude that there is, in fact, no meaningful risk”. Ese es el espíritu.

· Funciona la acreditación de diligencia real versus teatro kabuki del cumplimiento: haber hecho una TIA seria, haber identificado correctamente el flujo de datos, haber descrito con precisión el acceso remoto, haber actualizado la información facilitada al interesado, haber reducido el perímetro de datos, haber implementado medidas técnicas eficientes frente a riesgos concretos.

· También funciona la adaptación y mejora (aun durante el expediente sancionador) en términos de transparencia, como ocurrió con la lega-legalización de la política de privacidad, que la DPC tuvo en cuenta para modular la sanción en ese punto.

· En otras palabras, estos argumentos no “legalizan” lo que estructuralmente no puede legalizarse, pero sí acreditan menor culpabilidad, mayor diligencia y actitud de cumplimiento.

· Llegados a este punto en el que sé que sólo cuento con el 10% de los que empezaron a leer, puedo decir en “petit comité”: no funciona, nunca funciona tomar a los ímprobos funcionarios de las autoridades de control por gilipollas.

Muy muy buena semana.

Jorge García Herrero

Abogado y Delegado de protección de datos