Microsoft se enfrenta a nuevos retos a la hora de cumplir con la GDPR en Alemania
Mientras la Regulación General de Protección de Datos (GDPR) de la Unión Europea continúa funcionando como una de las leyes de protección de datos más rigurosas de todo el mundo, muchas grandes empresas se esfuerzan por cumplir con sus disposiciones cuando proporcionan productos y servicios a los consumidores que residen en Europa. En este sentido, la semana pasada se informó de que la multinacional tecnológica Microsoft se enfrenta a nuevos retos a la hora de cumplir con la GDPR en Alemania y varios de sus servicios han sido prohibidos en todo el país.
Las autoridades alemanas han expresado su preocupación por las prácticas de almacenamiento de datos fuera de las instalaciones de Microsoft. Más concretamente, las disposiciones de la Ley CLOUD (Aclaración del Uso Lícito de Datos en el Extranjero) han provocado una nueva oleada de inquietudes en materia de privacidad en los Estados miembros de la UE que mantienen relaciones comerciales con empresas estadounidenses. En Alemania la inmensa mayoría de las empresas almacenan los datos personales in situ, como ocurre en muchos otros países del mundo. Sin embargo, la Ley CLOUD permite a las empresas almacenar los datos en ubicaciones externas, como sistemas de almacenamiento en la nube, una práctica que entra en conflicto con las disposiciones de la GDPR.
Microsoft y la Ley CLOUD
La GDPR exige que cualquier empresa que recopile datos personales de consumidores dentro de un Estado miembro de la UE debe garantizar que estos datos se almacenan en una ubicación dentro de dicho Estado. Por lo tanto, una empresa como Microsoft, que presta servicios a clientes en Alemania, debe almacenar esta información personal en Alemania o enfrentarse a multas y sanciones administrativas. Sin embargo, la promulgación de la Ley CLOUD en 2018 creó una laguna jurídica que grandes empresas como Microsoft podían utilizar para eludir los requisitos de la GDPR.
El siguiente ejemplo ilustra el impacto potencial que la decisión de Microsoft de almacenar la información personal de los ciudadanos alemanes fuera de las instalaciones podría tener sobre las perspectivas futuras de la empresa en el país. El estado de Hesse, en el centro de Alemania, promulgó una prohibición parcial de Microsoft 365 en los distritos escolares de la zona, ya que la información de los niños que asisten a la escuela en dicho estado no se almacenaría en Alemania, en muchas circunstancias. Este no es un caso aislado. El manejo de Microsoft de los datos personales de los menores en el país viene suscitando preocupaciones desde hace algún tiempo.
Acuerdo sobre el Escudo de Privacidad
Debido en gran parte a cuestiones de protección de datos y privacidad personal en lo que respecta a la transferencia cruzada de información personal entre los estados de EE.UU. y los Estados miembros de la UE, las dos partes trabajaron juntas para elaborar un acuerdo que permita a las empresas almacenar datos personales de la manera que consideren más conveniente, al tiempo que proporcionan a los consumidores la garantía de que su información permanecerá segura en todo momento. Estos esfuerzos culminaron en la creación del Marco Transatlántico de Privacidad de Datos a principios de este mes.
Los actuales problemas de protección de datos y privacidad personal que dividen a los funcionarios gubernamentales de EE.UU. y la UE existen desde mucho antes de que se aprobara la GDPR. Por esta razón, el nuevo Marco Transatlántico de Privacidad de Datos, descrito como un esfuerzo por “salvaguardar los flujos de datos comerciales transfronterizos”, tendrá un gran impacto en la forma en que empresas como Microsoft interactúan con los consumidores que residen en Estados miembros de la UE. Dichos consumidores ahora tendrán acceso a un nuevo marco legal que les proporcionará protecciones adicionales de privacidad, así como más información y claridad sobre la forma en que se almacenarán sus datos personales.
Aunque no se ha acusado a Microsoft de violar la GDPR, los problemas a los que se ha enfrentado la empresa tecnológica en las últimas semanas ponen de relieve la necesidad cada vez mayor de una ley federal de protección de datos en los EE.UU. A pesar de los recientes esfuerzos por disipar estas preocupaciones, lo cierto es que los ciudadanos que residen en los estados de los EE.UU no gozan del mismo nivel de protección que los que residen en los Estados miembros de la UE, debido a la falta de legislación sobre privacidad que existe en el país. Por lo tanto, el Gobierno de EE.UU. tendrá que empezar a hacer serios esfuerzos para mejorar la protección de la privacidad que se ofrece a los millones de ciudadanos de la nación.