Con más de 15 años de experiencia como abogada, su papel como cofundadora de un consejo asesor de protección de datos y su participación activa en procedimientos ante el Tribunal de Justicia de la Unión Europea, junto con Max Schrems y Thomas Lohninger, Katharina Raabe-Stuppnig es una de las voces más influyentes en la ley europea de protección de datos. En su bufete de abogados en Wickenburggasse en Viena, habla sobre su trayectoria profesional, los desafíos del GDPR y la creciente complejidad causada por las nuevas leyes digitales de la UE.
Del derecho de los medios de comunicación a la protección de datos: experto en Austria
Katharina Raabe-Stuppnig comenzó su carrera en derecho de los medios de comunicación. Asesoró a editoriales y empresas de telecomunicaciones en materia de derecho de la competencia, publicidad y responsabilidad de los medios de comunicación. El puente hacia la protección de datos fue casi automático: “Muchos clientes se acercaron a mí y me dijeron: Conoce nuestros procesos y nuestro equilibrio de intereses, ¿puede apoyarnos también con la protección de datos?”
Cuando entró en vigor el GDPR, la protección de datos pasó más al centro de la realidad corporativa. Las multas millonarias aumentaron la presión. Las empresas necesitan conceptos claros y confían en las asociaciones existentes. Como resultado, la ley de protección de datos pasó de ser un tema marginal al foco central de su trabajo.
“Mi deseo sería fortalecer la economía europea, a través de alternativas europeas. La estrategia digital y la Ley de Datos son un paso en la dirección correcta. La única pregunta es: ¿Llegará a tiempo?”
Mag. Kathrina Raabe-Stuppnig
La protección de datos como facilitador
Desde la introducción del RGPD en 2018, la necesidad de apoyo legal ha aumentado enormemente, y sigue siendo alta. Esto se debe entre otras cosas a que el reglamento no hace distinción entre grandes corporaciones y pequeñas empresas. Todos deben cumplir con los mismos estándares.
“Un sistema de gestión de protección de datos que funcione es un verdadero facilitador hoy en día”, explica Raabe-Stuppnig. “Ofrece a las empresas una visión general de los sistemas, los procesos y los riesgos, y constituye la base para la optimización y el aumento de la eficiencia”.
Al mismo tiempo, el entorno se está volviendo cada vez más complejo: la nueva legislación como NIS-2, la Ley de Resiliencia Cibernética, la Ley de IA o la Ley de Datos imponen demandas adicionales a las empresas, en todas las industrias. Aquellos que ya han creado una base estable de protección de datos tienen una clara ventaja.
Estrategias de transformación digital
Las preguntas con las que las empresas recurren al bufete de abogados hoy en día son múltiples:
- ¿Cómo me afecta NIS-2 si soy un proveedor de infraestructura crítica?
- ¿Qué políticas necesito para la Ley de IA?
- ¿Cómo trato los nuevos derechos de acceso a los datos de acuerdo con la Ley de Datos, sin poner en peligro el nivel de protección de datos que he desarrollado hasta ahora?
Además de las evaluaciones legales, las cuestiones estratégicas juegan un papel cada vez más importante: ¿Dónde se ubican las responsabilidades en la empresa? ¿Cómo equilibra el cumplimiento, la ciberseguridad y la innovación? Raabe-Stuppnig y su equipo apoyan a las empresas no solo en la implementación, sino también en el posicionamiento dentro del nuevo marco legal.
UE vs. EE. UU.: Diferentes actitudes básicas
Un tema particularmente delicado es el uso de software de terceros países, por ejemplo, por parte de hiperescaladores estadounidenses. Aunque también existen leyes de protección de datos en los EE. UU., dijo Raabe-Stuppnig, la protección se aplica principalmente a los ciudadanos estadounidenses. Para los ciudadanos de la UE, estas regulaciones son mucho más débiles.
“El problema radica en la ponderación: los intereses de seguridad de la NSA a menudo tienen prioridad sobre la protección de datos de los no estadounidenses. El TJUE ya ha encontrado esta desproporcionalidad dos veces y, por lo tanto, anuló principios centrales como Safe Harbor y Privacy Shield”.
Cambio de conciencia en Europa desde 2018
Desde que entró en vigor el RGPD, la concienciación en Europa ha cambiado notablemente. Las empresas de hoy en día son mucho más sensibles cuando se trata de manejar datos personales. La atención de los medios en torno a las sentencias de protección de datos y los casos de alto perfil ha jugado un papel central en esto.
“Hemos creado un estándar de oro en protección de datos en Europa”, resume Raabe-Stuppnig. “Y es gratificante ver cuántas empresas se esfuerzan activamente no solo por cumplir con este estándar, sino por usarlo como una ventaja competitiva”.
¿Qué hace que la transferencia de datos a los EE. UU. sea tan sensible y cuál es la situación legal actual en la UE?
El debate sobre la protección de datos entre la UE y los Estados Unidos es complejo y, sobre todo, muy dinámico desde el punto de vista jurídico. A diferencia de países como Suiza, para los que se ha emitido una llamada decisión de adecuación de la Comisión de la UE, la situación con los Estados Unidos era y es mucho más complicada. Dicha decisión establece que los datos personales pueden transferirse a un tercer país porque existe un nivel de protección de datos comparable al de la UE. En países como China o Rusia, y durante mucho tiempo también en los Estados Unidos, tal decisión faltaba.
Procesamiento de datos en los EE. UU.: un acto de equilibrio legal
Por ejemplo, tan pronto como las empresas trabajan con proveedores de servicios de procesamiento de datos en los EE. UU., deben tomar medidas de protección adicionales para mantener el nivel de protección de datos requerido por el GDPR. Esto significa más esfuerzo, más obligación de verificar y más riesgo.
Un ejemplo práctico: incluso si elige una ubicación de servidor dentro de la UE para los proveedores de nube de EE. UU., el problema persiste, por ejemplo, si la subsidiaria europea está subordinada a una empresa matriz de EE. UU. En caso de emergencia, las autoridades estadounidenses, como la NSA, podrían exigir acceso a los datos, incluso a través de una cadena de mando interna. Una ubicación de servidor en la UE reduce el riesgo, pero no lo elimina por completo.
Del puerto seguro al marco de privacidad de datos: una revisión
La historia de los acuerdos de protección de datos entre la UE y los Estados Unidos se lee como una sucesión de reveses legales:
- Safe Harbor fue el primer acuerdo que impuso voluntariamente ciertos estándares de protección de datos a las empresas estadounidenses. Fue anulado en 2015 por la sentencia Schrems I.
- El Escudo de privacidad fue el sucesor: una versión revisada de Safe Harbor. Pero este acuerdo también fue declarado inválido por el Tribunal de Justicia de la Unión Europea en 2020 en la sentencia Schrems II.
- En respuesta, entró en vigor el Marco de Privacidad de Datos, sobre la base del cual la Comisión de la UE ha adoptado una vez más una decisión de adecuación para los Estados Unidos.
Sin embargo, la nueva decisión se basa una vez más en bases inestables
Esto se debe a que el Marco de Privacidad de Datos se basa en una orden ejecutiva del presidente de los Estados Unidos, es decir, una orden que teóricamente puede ser revocada en cualquier momento. Por lo tanto, los críticos dudan de la estabilidad a largo plazo de este marco. Ya se ha presentado una demanda contra la decisión de adecuación ante el Tribunal de Justicia de las Comunidades Europeas, y el resultado está abierto.
Además, la autoridad de supervisión responsable de EE. UU., PCLOB , actualmente no puede actuar porque tres de sus cinco gerentes han sido despedidos por el expresidente Trump. El resultado: una gran incertidumbre sobre la estabilidad del mecanismo de protección de datos en los Estados Unidos.
¿Qué importancia tiene el Marco de Privacidad de Datos para las empresas de la UE?
Si planifica a largo plazo y desea centrarse en la seguridad de los datos, no debe confiar ciegamente en el Marco de Privacidad de Datos. La situación legal puede cambiar rápidamente, como en el pasado. Las evaluaciones de impacto de transferencia de datos (TIA) requieren mucho esfuerzo y las infracciones pueden resultar en sanciones severas: hasta el 4% de los ingresos anuales globales.
Los servicios en la nube de EE. UU. (todavía) se pueden utilizar, pero no sin riesgos
Actualmente, los servicios en la nube de los proveedores estadounidenses pueden utilizarse de conformidad con la normativa de protección de datos, siempre que se apliquen las medidas de protección adecuadas, como las cláusulas contractuales estándar y las medidas técnicas de seguridad . Pero sigue habiendo un riesgo residual. Es particularmente problemático que todavía no exista un cifrado de extremo a extremo adecuado para el uso diario para todos los tipos de uso, por ejemplo, en el procesamiento continuo de datos (“datos en uso”).
Por lo tanto, el uso de los servicios de EE. UU. siempre debe evaluarse individualmente : ¿Qué tan sensibles son los datos procesados? ¿Qué medidas de seguridad se están tomando? ¿Y hasta qué punto la empresa es capaz de amortiguar realmente los riesgos?
Entre el blanco y negro y el realismo: cómo las empresas deben lidiar con la protección de datos y los proveedores de la nube
La cuestión de si las empresas solo deben usar software y servicios en la nube de origen europeo, un “todo o nada”, suena como una postura clara al principio. Pero esto es exactamente lo que advierte la experta en protección de datos Katharina Raabe-Stuppnig. Tal principio no solo es poco práctico, sino también difícil de justificar ante las autoridades. Más bien, cualquier decisión de utilizar software o servicios en la nube debe tomarse caso por caso, dependiendo de cuán sensibles sean los datos procesados y qué medidas de protección se puedan tomar en términos concretos.
No se deje llevar por una falsa sensación de seguridad, incluso con el Marco de Privacidad
Otro tema que actualmente ocupa a muchas empresas: ¿Qué sucede si el Tribunal de Justicia de la Unión Europea (TJUE) anula el nuevo Marco de Privacidad de Datos entre la UE y los EE. UU., como lo hicieron antes el “Puerto Seguro” y el “Escudo de Privacidad”? La respuesta a esto es clara: surgiría de nuevo una inseguridad jurídica masiva . Esta es precisamente la razón por la que Kargl ya
Pero el abogado también lo deja claro: si el Marco de Privacidad de Datos realmente cayera y, por lo tanto, se cuestionara fundamentalmente la proporcionalidad de la transferencia de datos a los EE. UU., Los TIA también alcanzarían sus límites. La esperanza se basa entonces en medidas técnicas y organizativas complementarias , sobre todo en el cifrado.
Cifrado: la aspiración y la realidad divergen
Las autoridades de protección de datos y el TJUE exigen una solución clara a los proveedores de servicios en la nube de EE. UU.: los datos solo deben almacenarse de forma encriptada y la clave debe administrarse fuera del proveedor , idealmente en Europa y bajo el control de la empresa responsable de datos o un fideicomisario europeo. El objetivo de esta solución llamada “gestión de claves externas” es garantizar que, incluso en caso de acceso por parte de las autoridades estadounidenses, como la NSA, solo se puedan transmitir datos cifrados, es decir, inutilizables.
En la práctica, sin embargo, según Katharina Raabe-Stuppnig, este tipo de cifrado solo se puede implementar realmente para los datos de respaldo. Tan pronto como los datos se procesan activamente en la vida cotidiana , se requiere acceso a material no cifrado. Aquí es precisamente donde radica el problema: la tecnología que permite el procesamiento completo de datos en un estado cifrado actualmente solo existe en una medida muy limitada , por ejemplo, para cálculos simples o estimaciones en escenarios específicos. El estado de la técnica aún no es suficiente para el uso generalizado requerido en los negocios.
El papel de Europa: oportunidades a través de la Ley de Datos
A pesar de estos desafíos, el abogado es optimista sobre el futuro: la Ley de Datos de la UE establece un rumbo importante. Los proveedores de la nube deben estar obligados
La pregunta sigue siendo si Europa aún podrá hacer esto a tiempo para poder actuar de manera más independiente y segura en el espacio digital. Sin embargo, Raabe-Stuppnig confía en que la voluntad política está ahí, y con una financiación y regulación específicas, pronto podrían surgir alternativas europeas viables.
Una exención general de las soluciones de terceros países no es factible ni legalmente necesaria. Las empresas deben sopesar cuidadosamente la sensibilidad de sus datos, qué socios son adecuados y qué medidas de protección pueden implementar en términos concretos. Aquellos que ya confían en las SCC, TIA y el cifrado no solo están en el lado seguro legalmente, sino que también fortalecen su posición europea en la competencia digital.
