Cumplimiento de Schrems II: Protección de los flujos de datos entre Reino Unido y la UE

La sentencia Schrems II del Tribunal de Justicia de la Unión Europea en julio de 2020 invalidó el Privacy Shield UE-EE. UU. al determinar que las leyes estadounidenses de vigilancia—en particular FISA 702 y la Orden Ejecutiva 12333—no ofrecen suficientes garantías para los derechos fundamentales de los interesados de la UE. Aunque el impacto inmediato recayó sobre empresas estadounidenses, la decisión generó profundas implicaciones para las organizaciones británicas que gestionan flujos de datos entre Reino Unido y la Unión Europea. La decisión de adecuación del Reino Unido por parte de la Comisión Europea, concedida tras el Brexit en junio de 2021, enfrenta las mismas vulnerabilidades estructurales que destruyeron el Privacy Shield: los proveedores estadounidenses de nube con acceso a claves de cifrado crean vías técnicas para la vigilancia estadounidense que ningún mecanismo contractual puede abordar adecuadamente.

Para las organizaciones británicas que utilizan proveedores de nube estadounidenses y mantienen un intercambio significativo de datos con entidades de la UE, Schrems II plantea una realidad incómoda. Las cláusulas contractuales tipo, principal mecanismo legal para las transferencias de datos Reino Unido-UE, exigen medidas técnicas y organizativas suplementarias cuando las transferencias implican países con leyes de vigilancia problemáticas. Las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos dejan claro que estas medidas suplementarias deben hacer que los datos sean «ininteligibles» para las autoridades gubernamentales—sin embargo, la mayoría de las organizaciones británicas dependen de arquitecturas en la nube donde los proveedores retienen acceso a las claves de cifrado, haciendo que los datos sean inteligibles para las autoridades estadounidenses por obligación legal, sin importar dónde se almacenen los datos o qué protecciones contractuales pretendan impedir la divulgación.

La amenaza va más allá de las preocupaciones de cumplimiento y afecta a la preservación de los propios flujos de datos Reino Unido-UE. Si las organizaciones británicas adoptan de forma generalizada arquitecturas en la nube que permitan la vigilancia estadounidense de datos personales de la UE, los defensores de la privacidad impugnarán la decisión de adecuación del Reino Unido utilizando el mismo razonamiento de Schrems II que invalidó el Privacy Shield. Un desafío exitoso eliminaría el estatus privilegiado del Reino Unido para las transferencias de datos de la UE, obligando a las empresas británicas a implementar los mismos mecanismos engorrosos requeridos para flujos de datos hacia países sin decisiones de adecuación. Por tanto, las organizaciones británicas deben evaluar si sus relaciones con proveedores de nube cumplen no solo los requisitos actuales de transferencia, sino también los estándares arquitectónicos necesarios para preservar el marco de adecuación que permite un intercambio eficiente de datos Reino Unido-UE.

Resumen Ejecutivo

Idea principal: Schrems II invalidó el Privacy Shield porque las leyes estadounidenses de vigilancia (FISA 702, Orden Ejecutiva 12333) carecen de garantías adecuadas para los interesados de la UE.

Por qué te debe importar: Las organizaciones británicas que usan proveedores de nube estadounidenses deben implementar medidas técnicas suplementarias—especialmente claves de cifrado gestionadas por el cliente—para proteger los flujos de datos Reino Unido-UE y preservar el estatus de adecuación del Reino Unido.

Puntos clave

1. El Tribunal de Justicia de la Unión Europea invalidó el Privacy Shield porque las leyes estadounidenses de vigilancia permiten el acceso a datos personales de la UE sin garantías adecuadas, al determinar que FISA 702 y la Orden Ejecutiva 12333 carecen de limitaciones suficientes sobre el acceso gubernamental y no ofrecen vías judiciales efectivas para los interesados de la UE cuyos derechos son vulnerados.
2. La adecuación del Reino Unido por parte de la Comisión Europea enfrenta vulnerabilidades idénticas a las que destruyeron el Privacy Shield cuando las organizaciones británicas utilizan proveedores de nube estadounidenses que mantienen acceso a las claves de cifrado, creando vías técnicas para la vigilancia estadounidense de datos personales de la UE que circulan por infraestructuras británicas.
3. Las Cláusulas Contractuales Tipo requieren medidas técnicas suplementarias que hagan los datos ininteligibles para las autoridades gubernamentales según las Recomendaciones 01/2020 del EDPB, pero el cifrado gestionado por el proveedor, donde los proveedores de nube retienen acceso a las claves, no cumple este requisito porque las autoridades estadounidenses pueden obligar a los proveedores a descifrar los datos sin importar las prohibiciones contractuales.
4. Las evaluaciones de impacto de transferencia deben valorar la efectividad práctica de las medidas suplementarias, no solo su diseño teórico, y la mayoría de las TIAs subestiman cómo el acceso del proveedor a las claves de cifrado debilita las salvaguardias técnicas que las cláusulas contractuales no pueden reemplazar adecuadamente.
5. Las claves de cifrado gestionadas por el cliente, donde los proveedores nunca poseen capacidades de descifrado, cumplen los requisitos de medidas suplementarias del EDPB al garantizar que los datos permanezcan ininteligibles incluso cuando los gobiernos obligan a los proveedores de nube a divulgar información almacenada, creando protección matemática en lugar de contractual.
6. Preservar la adecuación del Reino Unido exige que las organizaciones británicas demuestren que los datos personales de la UE que circulan por sistemas británicos siguen protegidos frente a la vigilancia estadounidense, lo que significa que la adopción generalizada de arquitecturas en la nube que permitan el acceso gubernamental estadounidense podría desencadenar impugnaciones a la adecuación y amenazar la base legal del intercambio de datos Reino Unido-UE.

Schrems II y la invalidación del Privacy Shield

¿Qué es Schrems II? El caso Schrems II (Asunto C-311/18, resuelto el 16 de julio de 2020) fue una sentencia del Tribunal de Justicia de la Unión Europea que invalidó el marco Privacy Shield UE-EE. UU. y estableció que las Cláusulas Contractuales Tipo requieren medidas técnicas suplementarias al transferir datos a países sin garantías adecuadas frente a la vigilancia.

El caso Schrems II, formalmente conocido como Data Protection Commissioner v. Facebook Ireland Limited y Maximillian Schrems (Asunto C-311/18), representa el segundo desafío exitoso del activista austriaco Max Schrems contra los mecanismos de transferencia de datos UE-EE. UU. La sentencia del Tribunal de Justicia de la Unión Europea del 16 de julio de 2020 invalidó el Privacy Shield UE-EE. UU. y mantuvo la validez de las cláusulas contractuales tipo como mecanismos de transferencia—pero solo cuando se complementan con salvaguardias adicionales que aborden riesgos específicos en los países de destino.

Por qué el Privacy Shield no superó la prueba de los derechos fundamentales

El Tribunal determinó que los programas de vigilancia estadounidenses, en particular la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) y la Orden Ejecutiva 12333, permiten el acceso a datos personales de la UE que va más allá de lo «estrictamente necesario» y proporcional para proteger la seguridad nacional. Estos programas permiten la recopilación masiva de comunicaciones sin sospecha individualizada, operan sin supervisión judicial significativa para personas no estadounidenses y no ofrecen mecanismos efectivos de recurso judicial que permitan a los interesados de la UE impugnar la vigilancia ilegal.

FISA 702 autoriza al gobierno estadounidense a obligar a empresas tecnológicas de EE. UU. a proporcionar acceso a las comunicaciones de personas no estadounidenses ubicadas fuera de Estados Unidos. El Tribunal FISA, que supervisa estos programas, no evalúa órdenes individuales sino que aprueba certificaciones anuales que cubren amplias categorías de objetivos de inteligencia. Los interesados de la UE cuyas comunicaciones se interceptan bajo la Sección 702 no tienen forma significativa de conocer la vigilancia ni de impugnar su legalidad en los tribunales estadounidenses.

La Orden Ejecutiva 12333, que regula la recopilación de inteligencia fuera de la jurisdicción estadounidense, opera con aún menos restricciones. Permite la recopilación de comunicaciones directamente desde la infraestructura de internet, incluidos cables submarinos y puntos de intercambio de red, sin la limitada supervisión del Tribunal FISA que se aplica a la Sección 702. Para los datos personales de la UE que transitan por infraestructuras de red estadounidenses o se almacenan con empresas estadounidenses, estos programas de vigilancia crearon lo que el Tribunal consideró incompatible con los derechos fundamentales de privacidad y protección de datos de la UE.

El problema de las limitaciones contractuales

De forma crucial, el Tribunal determinó que los mecanismos contractuales como el Privacy Shield UE-EE. UU. no pueden superar el problema de las leyes del país de destino que permiten el acceso gubernamental incompatible con los derechos fundamentales de la UE. Estados Unidos se comprometió a través del Privacy Shield a limitar el acceso a los datos a lo necesario y proporcionado, pero estos compromisos contractuales no pueden prevalecer sobre las leyes de seguridad nacional estadounidenses que obligan a las empresas a facilitar el acceso a los datos.

Este principio—que los contratos no pueden superar obligaciones legales—es la base del impacto continuo de Schrems II. Si los compromisos contractuales por sí solos pudieran proteger los datos frente al acceso gubernamental problemático, el Privacy Shield habría sobrevivido. El rechazo del Tribunal a este enfoque significa que las organizaciones que dependen únicamente de cláusulas contractuales tipo sin medidas técnicas suplementarias enfrentan la misma vulnerabilidad que destruyó el Privacy Shield.

Implicaciones para los proveedores de servicios en la nube

La sentencia Schrems II no menciona específicamente a los proveedores de nube, pero sus implicaciones para la infraestructura estadounidense en la nube son inconfundibles. AWS, Microsoft Azure, Google Cloud y otros proveedores estadounidenses están sujetos a las mismas autoridades FISA 702 y Orden Ejecutiva 12333 que el Tribunal consideró incompatibles con los derechos fundamentales de la UE. Estos proveedores deben cumplir con las exigencias gubernamentales de acceso a datos, y sus promesas contractuales a los clientes no pueden prevalecer sobre las obligaciones legales de responder a órdenes de vigilancia legítimas.

Para las organizaciones británicas, esto genera complicaciones inmediatas. Los datos almacenados con proveedores estadounidenses de nube siguen siendo accesibles para agencias de inteligencia estadounidenses mediante mecanismos legales que el Tribunal de Justicia de la Unión Europea ha rechazado explícitamente por inadecuados. Cuando esos datos incluyen información personal sobre interesados de la UE—empleados de empresas de la UE, clientes de negocios de la UE u otras personas protegidas por el GDPR de la UE—las organizaciones británicas que usan proveedores estadounidenses de nube facilitan una vigilancia que la legislación de la UE considera fundamentalmente incompatible con los derechos de protección de datos.

Adecuación del Reino Unido y el precedente de Schrems II

Estatus de adecuación del Reino Unido: La Comisión Europea concedió al Reino Unido una decisión de adecuación el 28 de junio de 2021, permitiendo flujos de datos sin restricciones desde la UE al Reino Unido. Sin embargo, este estatus sigue siendo vulnerable a impugnaciones si las organizaciones británicas permiten la vigilancia estadounidense de datos personales de la UE mediante arquitecturas en la nube inadecuadas.

Tras el Brexit, el Reino Unido se convirtió en un «tercer país» según la legislación de protección de datos de la UE, requiriendo una decisión de adecuación de la Comisión Europea para permitir flujos de datos sin restricciones desde la UE. La Comisión concedió la adecuación al Reino Unido el 28 de junio de 2021, al considerar que la legislación británica de protección de datos ofrece una protección esencialmente equivalente a los estándares del GDPR de la UE.

La vulnerabilidad de la adecuación británica

La adecuación del Reino Unido enfrenta la misma vulnerabilidad estructural que destruyó el Privacy Shield UE-EE. UU.: si las organizaciones británicas adoptan de forma generalizada arquitecturas técnicas que permiten la vigilancia estadounidense de datos personales de la UE, los defensores de la privacidad pueden impugnar la adecuación utilizando el razonamiento de Schrems II. La decisión de adecuación asume que los datos transferidos al Reino Unido estarán protegidos conforme al GDPR británico y la Ley de Protección de Datos de 2018—pero si esos datos se transfieren inmediatamente a proveedores estadounidenses de nube sujetos a FISA 702, ¿existe realmente una protección significativa?

La decisión de adecuación de la Comisión Europea señala explícitamente que debe revisarse si los estándares británicos de protección de datos cambian de forma que afecten la protección de los derechos fundamentales. La adopción generalizada en el Reino Unido de arquitecturas en la nube que faciliten la vigilancia estadounidense podría constituir tal cambio, no por acción legislativa sino por erosión práctica de las salvaguardias técnicas. Si los datos personales de la UE fluyen al Reino Unido solo para ser almacenados en infraestructuras estadounidenses accesibles para agencias de inteligencia estadounidenses, la adecuación se convierte en una laguna técnica que elude las protecciones establecidas por Schrems II.

El problema de la transferencia ulterior

La adecuación del Reino Unido no se extiende automáticamente a transferencias ulteriores desde el Reino Unido a terceros países. Cuando las organizaciones británicas transfieren datos personales de la UE a proveedores estadounidenses de nube, realizan transferencias ulteriores que deben cumplir con el artículo 46 del GDPR británico sobre salvaguardias apropiadas. Las cláusulas contractuales tipo pueden proporcionar la base legal para estas transferencias—pero tras Schrems II, las SCC por sí solas son insuficientes cuando las transferencias implican países con leyes de vigilancia que el Tribunal de Justicia de la Unión Europea ha considerado incompatibles con los derechos fundamentales.

Esto genera una cascada de requisitos de cumplimiento. Las organizaciones de la UE que transfieren datos a destinatarios británicos deben asegurarse de que estos cuenten con salvaguardias apropiadas para las transferencias ulteriores. Las organizaciones británicas deben realizar evaluaciones de impacto de transferencia para determinar si las SCC con sus proveedores estadounidenses de nube ofrecen protección adecuada ante las leyes estadounidenses de vigilancia. Y si esas evaluaciones identifican riesgos que las cláusulas contractuales no pueden abordar, las medidas técnicas suplementarias se vuelven obligatorias.

El reto es que la mayoría de las medidas suplementarias—cifrado en tránsito, cifrado en reposo, derechos de auditoría contractual—no abordan la vulnerabilidad fundamental: los proveedores estadounidenses de nube retienen acceso a las claves de cifrado, haciendo que los datos sean accesibles para las autoridades estadounidenses por obligación legal, sin importar dónde se almacenen los datos o qué protecciones contractuales pretendan impedir el acceso.

Preservar la adecuación mediante arquitectura técnica

La supervivencia de la adecuación británica depende en parte de que las organizaciones británicas demuestren que los datos personales de la UE que circulan por sistemas británicos permanecen realmente protegidos frente a la vigilancia estadounidense. Esto no es solo una obligación de cumplimiento para empresas individuales—es una responsabilidad colectiva que afecta a todas las empresas británicas que se benefician de la adecuación. Si los defensores de la privacidad demuestran con éxito que las organizaciones británicas permiten de forma rutinaria la vigilancia estadounidense de datos personales de la UE por malas decisiones arquitectónicas en la nube, la adecuación enfrenta amenazas existenciales.

La solución requiere arquitectura técnica en lugar de promesas contractuales. Las claves de cifrado gestionadas por el cliente que eliminan el acceso del proveedor crean garantías matemáticas de que los proveedores estadounidenses de nube no pueden facilitar el acceso a los datos ni siquiera bajo obligación legal. Las opciones de implementación soberana que mantienen los datos personales de la UE en infraestructuras británicas eliminan por completo el problema de la transferencia ulterior. Estos enfoques arquitectónicos abordan la preocupación fundamental de Schrems II: vías de acceso gubernamental que las medidas contractuales no pueden impedir.

El problema de las claves de cifrado en el contexto de Schrems II

Punto crítico: Cumplir con Schrems II exige que los datos sean «ininteligibles» para las autoridades gubernamentales. El cifrado gestionado por el proveedor no cumple este requisito porque los proveedores de nube pueden ser obligados a descifrar los datos. Las claves de cifrado gestionadas por el cliente—donde los proveedores nunca poseen capacidades de descifrado—cumplen los requisitos de medidas suplementarias del EDPB.

Schrems II trata fundamentalmente sobre el acceso gubernamental a los datos, y el control de las claves de cifrado determina si ese acceso es posible. Si los proveedores de nube pueden descifrar los datos del cliente, entonces las autoridades gubernamentales pueden obligar a los proveedores a ejercer esa capacidad sin importar las prohibiciones contractuales. Si los proveedores no pueden descifrar los datos del cliente porque nunca han poseído las claves, las exigencias gubernamentales solo obtienen texto cifrado ininteligible.

Cifrado gestionado por el proveedor y el estándar de ininteligibilidad

Las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos sobre medidas suplementarias establecen que las salvaguardias técnicas deben hacer que los datos sean «ininteligibles» para cualquiera que no esté autorizado a acceder a ellos—incluidas las autoridades gubernamentales del país de destino. El cifrado gestionado por el proveedor, donde los proveedores de nube controlan las claves mediante sus servicios de gestión de claves, no cumple este estándar porque el proveedor puede ser obligado a hacer que los datos sean inteligibles para las autoridades estadounidenses.

La mayoría de las implementaciones de cifrado en la nube utilizan módulos de seguridad hardware controlados por el proveedor para almacenar las claves de cifrado. Aunque estos HSM ofrecen protección sólida frente a atacantes externos, no protegen frente a exigencias gubernamentales presentadas al proveedor que controla el HSM. Cuando las autoridades estadounidenses emiten órdenes FISA 702 o cartas de seguridad nacional exigiendo acceso a datos, los proveedores de nube con acceso a las claves pueden descifrar y divulgar datos inteligibles, haciendo que el cifrado sea técnicamente sólido pero legalmente inútil para los fines de Schrems II.

Algunos proveedores ofrecen «claves gestionadas por el cliente» que permiten a las organizaciones controlar el ciclo de vida y las políticas de las claves. Sin embargo, estas implementaciones a menudo mantienen acceso del proveedor mediante claves de respaldo, mecanismos de recuperación o privilegios administrativos necesarios para la operación de la nube. A menos que las implementaciones de claves gestionadas por el cliente eliminen explícita y arquitectónicamente todo acceso del proveedor—haciendo técnicamente imposible que el proveedor descifre los datos incluso con cooperación de empleados y obligación gubernamental—no cumplen el requisito de ininteligibilidad del EDPB.

Recomendaciones de medidas técnicas del EDPB

Las Recomendaciones 01/2020 del EDPB ofrecen orientación detallada sobre medidas técnicas suplementarias adecuadas para distintos escenarios de transferencia de datos. Para transferencias donde el exportador mantiene el control de las claves de cifrado y el importador (proveedor de nube) no puede acceder a los datos en texto claro, el EDPB considera que esta es una medida suplementaria efectiva que impide el acceso gubernamental a datos inteligibles.

El requisito crítico es que las claves de cifrado permanezcan exclusivamente bajo control del exportador de datos, sin residir nunca en la infraestructura del proveedor de nube ni ser accesibles mediante sistemas del proveedor. Las claves deben generarse fuera de los entornos del proveedor, almacenarse en módulos de seguridad hardware o servidores de gestión de claves controlados por el cliente y usarse solo en sistemas a los que el proveedor no pueda acceder ni modificar. Esta separación arquitectónica garantiza que las exigencias gubernamentales presentadas al proveedor de nube no puedan obtener claves de descifrado ni datos inteligibles.

Las organizaciones británicas que implementen esta arquitectura para datos personales de la UE almacenados con proveedores estadounidenses de nube pueden cumplir tanto los requisitos de las SCC como el mandato de medidas suplementarias de Schrems II. Las cláusulas contractuales establecen obligaciones legales, mientras que la arquitectura técnica garantiza que esas obligaciones puedan cumplirse incluso cuando las autoridades estadounidenses exijan acceso a los datos. El proveedor puede cumplir con exigencias legales estadounidenses divulgando datos cifrados y, al mismo tiempo, respetar los compromisos contractuales de privacidad porque, sin las claves, los datos divulgados siguen siendo ininteligibles.

Por qué esto importa para los flujos de datos Reino Unido-UE

Cuando las organizaciones británicas reciben datos personales de la UE y posteriormente los transfieren a proveedores estadounidenses de nube sin medidas suplementarias adecuadas, crean exposición legal tanto para sí mismas como para sus fuentes de datos de la UE. Las organizaciones de la UE que transfieren datos a destinatarios británicos deben asegurarse de que existan salvaguardias adecuadas para las transferencias ulteriores. Si la arquitectura de nube británica no cumple los requisitos de Schrems II, las organizaciones de la UE no pueden transferir legítimamente datos a destinatarios británicos que planean tales transferencias ulteriores.

Esto genera implicaciones competitivas. Las empresas británicas que ofrecen salvaguardias inadecuadas según Schrems II pueden encontrar que clientes y socios de la UE son reacios a compartir datos, prefiriendo a competidores con medidas técnicas demostrables que cumplen los requisitos de medidas suplementarias. Empresas de servicios financieros, despachos legales, proveedores de salud y tecnológicas que dependen de flujos de datos personales de la UE deben diseñar infraestructuras en la nube que los responsables de protección de datos de la UE puedan aprobar con confianza en las evaluaciones de impacto de transferencia.

Evaluaciones de impacto de transferencia y medidas suplementarias

Requisito de TIA: Las organizaciones británicas deben realizar evaluaciones de impacto de transferencia (TIAs) para determinar si las Cláusulas Contractuales Tipo por sí solas ofrecen protección adecuada para transferencias a países con leyes de vigilancia problemáticas. Las TIAs deben evaluar la efectividad práctica de las salvaguardias, no solo el lenguaje contractual.

Schrems II no invalidó las cláusulas contractuales tipo, pero estableció que las SCC por sí solas son insuficientes para transferencias a países con leyes de vigilancia incompatibles con los derechos fundamentales de la UE. Los exportadores de datos deben realizar evaluaciones de impacto de transferencia para determinar si la realidad legal y técnica en el país de destino permite que las protecciones contractuales de las SCC se cumplan en la práctica.

Qué deben evaluar las evaluaciones de impacto de transferencia

Las evaluaciones de impacto de transferencia no son ejercicios de lista de verificación. El EDPB deja claro que las TIAs deben evaluar la efectividad práctica de las salvaguardias, no solo su diseño teórico. Para las organizaciones británicas que transfieren datos personales de la UE a proveedores estadounidenses de nube, las TIAs deben evaluar:

• Si el cifrado proporciona protección efectiva. Si el proveedor posee las claves de cifrado, la respuesta es no—las autoridades gubernamentales pueden obligar a divulgar las claves o descifrar los datos, haciendo que el cifrado sea legalmente inútil aunque técnicamente sólido.
• Si los compromisos contractuales impiden el acceso gubernamental. Las leyes estadounidenses de seguridad nacional prevalecen explícitamente sobre las obligaciones contractuales, por lo que los compromisos contractuales de los proveedores estadounidenses no pueden impedir la divulgación legalmente obligada.
• Si los mecanismos de transparencia permiten detectar el acceso gubernamental. Las cartas de seguridad nacional y las órdenes FISA suelen prohibir la divulgación, impidiendo que los proveedores informen a los clientes sobre el acceso a los datos, haciendo imposible la detección y la rendición de cuentas ilusoria.
• Si existe recurso legal ante el acceso ilegal. La sentencia Schrems II determinó que las personas no estadounidenses carecen de recurso judicial efectivo en los tribunales estadounidenses ante la vigilancia FISA 702, lo que significa que las violaciones no pueden impugnarse ni remediarse de forma significativa.

Las organizaciones que realizan TIAs honestas para relaciones con proveedores estadounidenses de nube suelen llegar a conclusiones incómodas: las salvaguardias implementadas no abordan realmente las vías de acceso fundamentales que Schrems II identificó como incompatibles con los derechos fundamentales de la UE.

El requisito de medidas suplementarias

Cuando las TIAs identifican que las SCC por sí solas no ofrecen protección suficiente, las medidas técnicas y organizativas suplementarias se vuelven obligatorias. Las Recomendaciones 01/2020 del EDPB describen diversas medidas suplementarias adecuadas para distintas circunstancias, pero no todas abordan la preocupación de Schrems II sobre la vigilancia.

Las medidas organizativas—derechos de auditoría contractual, compromisos de transparencia, minimización de datos—no pueden superar las autoridades de acceso gubernamental. Si la ley estadounidense permite la vigilancia, los compromisos contractuales de no realizar vigilancia carecen de valor legal. Las auditorías no pueden detectar accesos gubernamentales clasificados sujetos a requisitos de no divulgación. La minimización de datos reduce el riesgo pero no elimina las vías de acceso gubernamental a los datos restantes.

Las medidas técnicas ofrecen más garantías, pero solo aquellas que impiden arquitectónicamente el acceso del proveedor a datos inteligibles. El cifrado en tránsito (TLS) protege los datos en tránsito pero no en reposo en la infraestructura del proveedor. El cifrado en reposo con claves gestionadas por el proveedor fracasa porque los proveedores pueden ser obligados a descifrar. La seudonimización y anonimización solo funcionan si son realmente irreversibles, lo que suele ser imposible para datos operativos que requieren vinculación con el mundo real.

La medida suplementaria que aborda de forma fiable las preocupaciones de Schrems II es el cifrado gestionado por el cliente con separación criptográfica—claves generadas, almacenadas y gestionadas totalmente fuera de la infraestructura del proveedor, haciendo técnicamente imposible que los proveedores accedan a datos en texto claro incluso bajo obligación gubernamental. Esta medida no depende de promesas contractuales ni de protecciones legales que las autoridades gubernamentales puedan superar. Crea certeza matemática de que la divulgación obligada por el proveedor solo produce texto cifrado ininteligible.

Fallos comunes en las TIAs

Muchas organizaciones británicas realizan evaluaciones de impacto de transferencia que subestiman los riesgos de Schrems II o sobreestiman la efectividad de las medidas suplementarias. Los fallos más comunes incluyen:

• Tratar las ofertas de «clave gestionada por el cliente» del proveedor como control genuino del cliente sin verificar que el proveedor no pueda acceder a las claves mediante mecanismos de respaldo, recuperación o administración.
• Asumir que almacenar datos en regiones del Reino Unido o la UE elimina el riesgo de vigilancia estadounidense sin reconocer que las matrices estadounidenses que controlan esas regiones siguen sujetas a FISA 702 sin importar la ubicación de los datos.
• Confiar en los informes de transparencia del proveedor como prueba de acceso gubernamental limitado sin reconocer que las órdenes de vigilancia clasificadas prohíben la divulgación, haciendo que los informes de transparencia sean inherentemente incompletos.
• Implementar cifrado en tránsito como medida suplementaria sin abordar que los datos deben descifrarse para su almacenamiento y procesamiento, durante los cuales los sistemas gestionados por el proveedor tienen acceso a texto claro.
• Confundir residencia de datos (almacenamiento en una geografía específica) con soberanía de datos (control exclusivo sobre el acceso a los datos), considerando suficiente la ubicación en el Reino Unido sin evaluar las vías de acceso de la matriz estadounidense.

Estos fallos en las TIAs no solo generan riesgos de cumplimiento para organizaciones individuales. Cuando son generalizados entre empresas británicas que gestionan datos personales de la UE, refuerzan el argumento para impugnar la adecuación británica utilizando el razonamiento de Schrems II.

Por qué las Cláusulas Contractuales Tipo no son suficientes

En resumen: Las Cláusulas Contractuales Tipo (SCC) ofrecen la base legal necesaria pero no pueden superar las leyes estadounidenses de vigilancia que prevalecen sobre los compromisos contractuales. Las medidas técnicas suplementarias—especialmente el cifrado gestionado por el cliente que elimina el acceso del proveedor a las claves—son obligatorias para cumplir con Schrems II.

Las cláusulas contractuales tipo, aprobadas por la Comisión Europea en 2021, establecen obligaciones contractuales detalladas para transferencias internacionales de datos. Sin embargo, Schrems II determinó que estas protecciones contractuales son insuficientes cuando las leyes del país de destino permiten el acceso gubernamental incompatible con los derechos fundamentales de la UE—una circunstancia que incluye explícitamente a los proveedores estadounidenses de nube sujetos a FISA 702.

El problema de la prevalencia legal

Las SCC exigen que los importadores de datos informen a los exportadores si no pueden cumplir con las cláusulas, por ejemplo, debido a exigencias gubernamentales que entren en conflicto con las obligaciones contractuales. Sin embargo, las leyes estadounidenses de seguridad nacional suelen prohibir dicha notificación. Las cartas de seguridad nacional emitidas bajo 18 U.S.C. § 2709 incluyen disposiciones de no divulgación que impiden a los destinatarios revelar la existencia de dichas cartas. Las órdenes FISA imponen restricciones similares. Estas prohibiciones legales prevalecen sobre los compromisos contractuales de notificar a los clientes sobre solicitudes gubernamentales de datos.

Esto crea una situación contractual imposible. Los proveedores estadounidenses de nube no pueden cumplir con los requisitos de notificación de las SCC cuando las leyes de seguridad nacional prohíben la divulgación. No pueden rechazar exigencias gubernamentales porque el rechazo viola la legislación penal estadounidense. Y no pueden satisfacer ambas obligaciones legales—a la vez cumplir con las autoridades estadounidenses de vigilancia y respetar los compromisos contractuales de privacidad—porque las obligaciones son fundamentalmente incompatibles.

La sentencia Schrems II reconoció este conflicto y concluyó que las medidas contractuales por sí solas no pueden proporcionar protección adecuada cuando las leyes del país de destino prevalecen sobre los compromisos contractuales. Para las organizaciones británicas, esto significa que las SCC con proveedores estadounidenses de nube deben complementarse con medidas técnicas que sigan siendo efectivas incluso cuando los proveedores enfrenten exigencias gubernamentales que no pueden rechazar ni divulgar.

Vulnerabilidades específicas de los módulos

Las Cláusulas Contractuales Tipo de 2021 incluyen cuatro módulos que cubren distintos escenarios de transferencia: responsable a responsable, responsable a encargado, encargado a encargado y encargado a subencargado. Las relaciones con proveedores de servicios en la nube suelen utilizar el Módulo Dos (responsable a encargado), donde la organización británica actúa como responsable de datos y el proveedor de nube procesa los datos bajo sus instrucciones.

El Módulo Dos incluye disposiciones específicas que exigen a los encargados implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Sin embargo, estas medidas deben cumplir no solo los requisitos contractuales sino también el estándar de efectividad práctica que estableció Schrems II. El cifrado gestionado por el proveedor cumple con el lenguaje contractual sobre «cifrado de datos personales» pero no con el requisito de Schrems II de que el cifrado haga que los datos sean ininteligibles para las autoridades gubernamentales cuando el proveedor que controla las claves puede ser obligado a descifrar.

Las SCC también exigen que los encargados ayuden a los responsables a responder a solicitudes de interesados, realizar evaluaciones de impacto de protección de datos y demostrar cumplimiento con obligaciones de seguridad. Cuando los encargados usan claves de cifrado que controlan, mantienen la capacidad técnica para prestar esta asistencia—pero esa misma capacidad les permite asistir a las autoridades gubernamentales que exigen acceso a los datos. La arquitectura que habilita la funcionalidad operativa crea la vulnerabilidad que Schrems II identifica como problemática.

Medidas suplementarias como adiciones obligatorias

La orientación del EDPB deja claro que las medidas suplementarias no son mejoras opcionales—son requisitos obligatorios cuando las TIAs identifican riesgos que las SCC por sí solas no pueden abordar. Para transferencias a Estados Unidos, la existencia de FISA 702 y autoridades de vigilancia relacionadas crea la necesidad presunta de medidas suplementarias. Las organizaciones que afirman que las SCC por sí solas ofrecen protección suficiente deben demostrar por qué las leyes estadounidenses de vigilancia no generan riesgos que requieran salvaguardias adicionales—un argumento difícil tras Schrems II.

El Supervisor Europeo de Protección de Datos ha ido más allá, sugiriendo que para algunos tipos de transferencias a Estados Unidos, ninguna medida suplementaria puede ofrecer protección adecuada salvo no transferir en absoluto. Aunque esto representa una interpretación más restrictiva que las recomendaciones del EDPB, ilustra la seriedad con la que las autoridades de la UE ven los riesgos de vigilancia estadounidense tras Schrems II.

Para las organizaciones británicas, el mensaje es claro: las SCC ofrecen la base legal necesaria para relaciones con proveedores estadounidenses de nube, pero la arquitectura técnica determina si esas relaciones cumplen con los requisitos de Schrems II. El lenguaje contractual sobre cifrado, medidas de seguridad y notificación de acceso gubernamental no puede sustituir a una arquitectura criptográfica que haga matemáticamente imposible el acceso del proveedor a datos en texto claro.

Escenarios reales: flujos de datos Reino Unido-UE bajo Schrems II

Despacho legal británico con clientes de la UE: protección del privilegio profesional transfronterizo

Un despacho legal en Manchester representa a clientes de toda Europa en litigios comerciales, asuntos de competencia e investigaciones regulatorias. El despacho utilizaba previamente Microsoft 365 para la gestión documental y las comunicaciones con clientes, confiando en las regiones de la UE de Azure para la residencia de datos. Cuando el despacho comenzó a asesorar a una farmacéutica alemana en un asunto potencialmente relacionado con intereses regulatorios estadounidenses, el responsable de protección de datos del cliente cuestionó si la arquitectura en la nube del despacho cumplía los requisitos de medidas suplementarias de Schrems II.

La preocupación del responsable de protección de datos era concreta: Microsoft, como empresa estadounidense sujeta a FISA 702, podría ser obligada a proporcionar a las autoridades estadounidenses acceso a documentos de clientes almacenados en regiones de la UE de Azure. Incluso con cláusulas contractuales tipo y los compromisos contractuales de Azure con la protección de datos, las leyes estadounidenses de vigilancia prevalecen sobre estas protecciones contractuales. El privilegio profesional del cliente bajo la legislación alemana y los derechos de la Carta de la UE podrían verse comprometidos por la vigilancia estadounidense habilitada por la arquitectura en la nube del despacho.

El despacho realizó una evaluación de impacto de transferencia sobre su implementación de Azure. La evaluación concluyó que el acceso de Microsoft a las claves de cifrado creaba exactamente la vulnerabilidad identificada por el responsable de protección de datos del cliente. Aunque los datos residían en regiones de la UE, la matriz estadounidense de Microsoft mantenía la capacidad técnica de descifrar y divulgar esos datos bajo obligación FISA 702. Las SCC del despacho con Microsoft ofrecían protecciones contractuales que las leyes estadounidenses de seguridad nacional podían superar.

El despacho implementó Kiteworks on-premises en su centro de datos en el Reino Unido con claves de cifrado gestionadas por el cliente y almacenadas en módulos de seguridad hardware controlados en el Reino Unido. Los datos de clientes de la UE nunca fluyen a infraestructuras estadounidenses, las claves de cifrado permanecen exclusivamente bajo control del despacho y el geofencing impide la autenticación desde direcciones IP estadounidenses. Cuando la responsable de protección de datos de la farmacéutica alemana revisó la nueva arquitectura, la aprobó por cumplir los requisitos de medidas suplementarias de Schrems II—la arquitectura técnica hacía que los datos fueran ininteligibles para Microsoft, las autoridades estadounidenses o cualquier otro sin las claves controladas por el despacho en el Reino Unido.

Empresa británica de servicios financieros: protección de datos de clientes de la UE

Una firma de gestión de patrimonios con sede en Londres atiende a individuos de alto patrimonio y oficinas familiares en Reino Unido y la Unión Europea. La firma utilizaba previamente Salesforce para la gestión de relaciones con clientes y Google Workspace para las comunicaciones operativas, creyendo que los compromisos contractuales y las certificaciones ofrecían protección adecuada de los datos de clientes de la UE.

Cuando la firma buscó expandir servicios a los mercados alemán y francés, los asesores de cumplimiento de clientes potenciales plantearon preocupaciones sobre Schrems II. Almacenar información financiera de clientes de la UE con proveedores estadounidenses de nube sujetos a FISA 702 generaba exposición potencial a la vigilancia estadounidense. Incluso si esa vigilancia se dirigía a amenazas legítimas de seguridad nacional, su naturaleza de recopilación masiva significaba que los datos de clientes de la UE podían ser recogidos y retenidos incidentalmente—exactamente el problema que el Tribunal de Justicia de la Unión Europea consideró incompatible con los derechos fundamentales en Schrems II.

La respuesta inicial de la firma fue implementar Cláusulas Contractuales Tipo con Salesforce y Google, realizar evaluaciones de impacto de transferencia y documentar que los datos residían en regiones de la UE. Sin embargo, los asesores de los clientes potenciales identificaron que estas medidas no abordaban el problema fundamental: las matrices estadounidenses que controlan las regiones de la UE mantenían acceso a las claves de cifrado que permitían la divulgación obligada por el gobierno. Las SCC ofrecían protecciones contractuales que las leyes estadounidenses de vigilancia podían superar. Las TIAs documentaban los riesgos sin abordarlos adecuadamente.

La firma implementó Kiteworks para la gestión de datos de clientes y comunicaciones sensibles, con cifrado gestionado por el cliente y claves generadas y almacenadas en infraestructura controlada en el Reino Unido. Los datos personales de clientes de la UE fluyen por esta arquitectura soberana en lugar de sistemas en la nube estadounidenses. Las evaluaciones de impacto de transferencia de la firma ahora documentan medidas técnicas suplementarias que cumplen las Recomendaciones 01/2020 del EDPB—cifrado que hace los datos ininteligibles para los proveedores de nube, con control criptográfico de claves que elimina vías de acceso gubernamental que las medidas contractuales no pueden impedir.

La arquitectura permitió a la firma asegurar clientes alemanes y franceses cuyos responsables de protección de datos exigen cumplimiento demostrable de Schrems II. Cuando la adecuación británica se somete a revisión periódica, la arquitectura protectora de la firma demuestra que las organizaciones británicas pueden mantener una protección robusta de los datos personales de la UE, apoyando argumentos para preservar la adecuación.

Proveedor de salud británico: colaboración de investigación transfronteriza

Un trust del NHS británico participa en investigación clínica multinacional que implica el intercambio de datos de pacientes con instituciones de investigación alemanas y suecas. La colaboración utilizaba previamente Microsoft Teams y SharePoint para la gestión de datos de investigación, confiando en las regiones de la UE de Microsoft y las cláusulas contractuales tipo para el cumplimiento legal. Cuando el responsable de protección de datos de la institución alemana realizó una revisión Schrems II de las colaboraciones internacionales, la arquitectura en la nube del trust británico generó preocupaciones.

La investigación implica datos de salud protegidos por el artículo 9 del GDPR británico y las disposiciones de categorías especiales del GDPR de la UE. El responsable de protección de datos de la institución alemana identificó que el control de la matriz estadounidense de Microsoft y el acceso a las claves de cifrado creaban riesgos que las SCC por sí solas no podían abordar. Si las autoridades estadounidenses presentaban órdenes FISA 702 a Microsoft para datos relacionados con sujetos de investigación que pudieran tener relevancia para la seguridad nacional—aunque fuera tangencialmente—Microsoft estaría legalmente obligada a facilitar el acceso a datos de salud de la UE almacenados en sus sistemas.

El comité de ética de la institución alemana, asesorado por el responsable de protección de datos, concluyó que participar en investigaciones utilizando infraestructura estadounidense en la nube generaba riesgos incompatibles con los derechos fundamentales de los sujetos de investigación según el razonamiento de Schrems II. O la colaboración debía implementar medidas técnicas suplementarias adecuadas, o la institución alemana se retiraría del programa de investigación.

El trust del NHS evaluó opciones de medidas suplementarias. La seudonimización por sí sola era insuficiente porque la utilidad de la investigación requería vincular datos a sujetos individuales. El cifrado en reposo utilizando la gestión de claves de Microsoft fracasaba porque Microsoft retenía la capacidad de descifrado bajo obligación gubernamental. Las medidas organizativas—auditorías contractuales, compromisos de transparencia—no podían superar las autoridades legales estadounidenses que prevalecen sobre las protecciones contractuales.

El trust implementó Kiteworks para la gestión de datos de investigación con claves de cifrado gestionadas exclusivamente en infraestructura controlada por el NHS. Los datos de investigación de instituciones de la UE fluyen por una arquitectura soberana británica donde ni los proveedores estadounidenses de nube ni las autoridades estadounidenses pueden acceder a los datos en texto claro. El responsable de protección de datos de la institución alemana aprobó la arquitectura por cumplir los requisitos de medidas suplementarias de Schrems II, permitiendo que la colaboración investigadora continuara.

Empresa tecnológica británica: plataforma SaaS para clientes de la UE

Una empresa de software británica ofrece una plataforma SaaS de gestión de recursos humanos a clientes de toda Europa. La plataforma funcionaba previamente sobre infraestructura de AWS en regiones de la UE, presentándose como una alternativa europea a competidores estadounidenses. Cuando los clientes comenzaron a solicitar documentación de cumplimiento con Schrems II, la empresa descubrió que su arquitectura en AWS creaba exactamente las vulnerabilidades que los clientes buscaban evitar.

Los responsables de protección de datos de los clientes de la UE identificaron que AWS, como empresa estadounidense sujeta a FISA 702, mantenía acceso a las claves de cifrado que permitían la divulgación obligada de datos por el gobierno sin importar la residencia regional de los datos en la UE. Las Cláusulas Contractuales Tipo de la empresa con los clientes incluían compromisos de proteger los datos frente a accesos no autorizados—pero ¿cómo podían cumplirse esos compromisos si el proveedor de infraestructura podía ser obligado a facilitar a las autoridades estadounidenses el acceso a los datos de los clientes?

La posición de la empresa como alternativa europea a competidores estadounidenses dependía de proteger genuinamente los datos de clientes de la UE frente a la vigilancia estadounidense. Sin embargo, su infraestructura en AWS significaba que los datos de los clientes seguían siendo tan vulnerables a FISA 702 como si se alojaran directamente con competidores estadounidenses. El mensaje de marketing de la empresa sobre protección de datos europea no estaba respaldado por una arquitectura técnica que realmente impidiera el acceso gubernamental estadounidense.

La empresa re-arquitecturó el despliegue de su plataforma, migrando a infraestructura soberana en la nube del Reino Unido con claves de cifrado gestionadas por el cliente. Los datos de clientes de la UE se cifran con claves generadas, gestionadas y almacenadas totalmente fuera del control de AWS. Ahora la empresa puede demostrar a los responsables de protección de datos de los clientes que su arquitectura cumple los requisitos de medidas suplementarias de Schrems II—los datos almacenados en su plataforma permanecen ininteligibles para los proveedores estadounidenses de nube y las autoridades estadounidenses, haciendo que las promesas de protección de datos europea de la empresa sean verificables técnicamente y no solo contractualmente.

Comparativa: Kiteworks vs. proveedores estadounidenses de nube a hiperescala

Conclusión: la arquitectura técnica determina el cumplimiento de Schrems II

Schrems II cambió fundamentalmente el cumplimiento de las transferencias internacionales de datos al establecer que las protecciones contractuales por sí solas no pueden abordar la vigilancia gubernamental en los países de destino. Para las organizaciones británicas que gestionan flujos de datos entre Reino Unido y la Unión Europea mientras utilizan proveedores estadounidenses de nube, esta sentencia crea imperativos legales, operativos y estratégicos que el lenguaje contractual no puede satisfacer.

El Tribunal de Justicia de la Unión Europea no dictaminó que las transferencias a Estados Unidos sean imposibles—dictaminó que tales transferencias requieren medidas suplementarias que hagan los datos ininteligibles para las autoridades estadounidenses. Este requisito técnico no puede cumplirse mediante compromisos contractuales, certificaciones de cumplimiento ni medidas organizativas que las leyes de vigilancia gubernamental pueden superar. Requiere una arquitectura criptográfica donde los proveedores de nube nunca posean las claves de cifrado necesarias para hacer los datos inteligibles, ni siquiera bajo obligación legal.

La adecuación del Reino Unido por parte de la Comisión Europea ofrece mecanismos simplificados para los flujos de datos Reino Unido-UE, pero este estatus privilegiado es vulnerable si las organizaciones británicas permiten la vigilancia estadounidense de datos personales de la UE mediante arquitecturas en la nube inadecuadas. Los defensores de la privacidad impugnaron con éxito el Privacy Shield UE-EE. UU. utilizando el razonamiento de Schrems II; podrían emplear los mismos argumentos contra la adecuación británica si las empresas británicas adoptan de forma generalizada arquitecturas técnicas que faciliten exactamente la vigilancia que Schrems II consideró incompatible con los derechos fundamentales de la UE.

Para las organizaciones británicas, el camino a seguir requiere arquitectura técnica en lugar de optimismo contractual. Las claves de cifrado gestionadas por el cliente que eliminan el acceso del proveedor cumplen los requisitos de medidas suplementarias del EDPB al crear garantías matemáticas que la obligación gubernamental no puede superar. Las opciones de implementación soberana que mantienen los datos personales de la UE en infraestructuras británicas eliminan por completo las complicaciones de transferencia ulterior. Estos enfoques arquitectónicos no solo abordan obligaciones de cumplimiento—preservan el marco de adecuación que permite un intercambio eficiente de datos Reino Unido-UE que beneficia a todas las empresas británicas que operan en mercados europeos.

El cumplimiento de Schrems II no se logra con documentación—se logra con arquitectura. Las organizaciones británicas que reconocen esta diferencia pueden construir infraestructuras en la nube que realmente protejan los datos personales de la UE y mantengan la eficiencia operativa. Quienes confían en promesas contractuales de proveedores estadounidenses que retienen acceso a las claves de cifrado crean exposición para sí mismos, sus socios de la UE y, en última instancia, para la propia adecuación británica.

Cómo Kiteworks permite el cumplimiento de Schrems II para organizaciones británicas

Kiteworks responde a los requisitos de medidas suplementarias de Schrems II mediante un diseño arquitectónico que cumple las Recomendaciones 01/2020 del EDPB. Las claves de cifrado propiedad del cliente sin acceso del proveedor garantizan que los datos permanezcan ininteligibles para las autoridades estadounidenses incluso bajo obligación FISA 702. Los cifrados validados FIPS 140-3 Nivel 1 combinados con S/MIME, OpenPGP y TLS 1.3 protegen los datos durante todo su ciclo de vida, mientras que el control criptográfico de claves hace matemáticamente imposible el acceso gubernamental sin importar las exigencias legales.

Opciones de implementación flexibles y seguras—on-premises, nube soberana británica o entornos air-gapped—eliminan por completo la exposición jurisdiccional estadounidense. Cuando se implementa fuera de la infraestructura estadounidense, Kiteworks no puede ser obligado bajo FISA 702, cartas de seguridad nacional u otras autoridades de vigilancia extraterritorial. El geofencing granular refuerza las restricciones de acceso impidiendo la autenticación desde direcciones IP estadounidenses, mientras que los controles jurisdiccionales garantizan que solo personal autorizado del Reino Unido o la UE acceda a datos personales de la UE.

La Red de Contenido Privado unificada de Kiteworks extiende el cumplimiento de Schrems II a todos los canales de comunicación de contenido: correo electrónico seguro, uso compartido seguro de archivos, transferencia segura de archivos administrada
formularios web seguros, SFTP y otros. Los registros de auditoría integrales documentan todos los accesos a datos, respaldando las evaluaciones de impacto de transferencia y demostrando la efectividad de las medidas suplementarias. La integración con soluciones SIEM proporciona monitorización en tiempo real del manejo de datos personales de la UE.

Kiteworks permite a las organizaciones británicas cumplir tanto los requisitos de las cláusulas contractuales tipo como las medidas técnicas suplementarias del EDPB, protegiendo los flujos de datos Reino Unido-UE y apoyando la preservación de la adecuación británica mediante salvaguardias técnicas demostrables que impiden la vigilancia estadounidense de datos personales de la UE.

Si quieres saber más sobre cómo proteger datos personales de la UE en cumplimiento con el GDPR
y otros requisitos de cumplimiento normativo, solicita una demo personalizada hoy mismo.

Recursos adicionales

• Artículo del Blog  
  Soberanía de datos: ¿mejor práctica o requisito normativo?
• eBook  
  Soberanía de datos y GDPR
• Artículo del Blog  
  Evita estos errores de soberanía de datos
• Artículo del Blog  
  Mejores prácticas de soberanía de datos
• Artículo del Blog  
  Soberanía de datos y GDPR [Entendiendo la seguridad de los datos]