Hace algunos días compartimos aquí en el blog la noticia sobre que en Dinamarca se tomó la decisión de prohibir los Chromebooks y el conjunto de herramientas y software de productividad de Google Workspace debido a preocupaciones o violaciones de los altos estándares de privacidad europeos establecidos por GDPR.
Según la Autoridad Danesa de Protección de Datos, el paquete de software Workspace basado en la nube de Google «no cumple con los requisitos» de las regulaciones de privacidad de datos GDPR de la Unión Europea.
Google dijo que planea solucionar los problemas de privacidad para agosto de 2023, pero las instituciones educativas no deberían utilizar las versiones actuales de los servicios de correo electrónico y nube de Google.
“El municipio de Helsingør ha realizado un trabajo maravilloso y competente al mapear cómo se utilizan los datos personales en la escuela primaria, pero también destaca los problemas legales de protección de datos que pueden vincularse a los métodos de las grandes empresas de tecnología para resolver la tarea”, dijo. Allan Frank, especialista en seguridad informática y abogado de la Autoridad Danesa de Protección de Datos.
Y es que la razón de hacer mención de esto, es que ahora esta decisión sigue decisiones similares de las autoridades holandesas y alemanas. Para ser más específicos, se ha decidido que las escuelas alemanas no deberían usar ofertas en la nube como Office 365, G Suite e iCloud debido a violaciones de privacidad.
El Comisionado de Hesse para la Protección de Datos y la Libertad de Información ha emitido una declaración de que, dada la falta de transparencia en la protección de datos y el posible acceso de terceros, no se pueden almacenar datos personales de escolares en archivos alemanes solo en servidores de Microsoft, Google o Apple fuera de Alemania.
Además, las escuelas y universidades holandesas deben dejar de usar el correo electrónico y los servicios en la nube de Google debido a problemas de privacidad. Según la Autoridad Holandesa de Datos Personales, las instituciones educativas no saben cómo y dónde se procesan y almacenan los datos personales de los alumnos y estudiantes. En consecuencia, el tratamiento de la información sería “ilegal”.
Los problemas que enfrentan las instituciones gubernamentales comenzaron con la invalidación de Privacy Shield en 2020.
Privacy Shield fue un acuerdo de transferencia de datos entre los Estados Unidos y la Unión Europea y estaba destinado a hacer que las transferencias de datos entre los dos fueran legalmente posibles. Sin embargo, el acuerdo fue declarado inválido por el Tribunal de Justicia de la Unión Europea en 2020 debido a problemas de confidencialidad.
Un problema importante que señaló el Tribunal de la UE es que los datos de los extranjeros no están protegidos en los Estados Unidos. Las protecciones que existen, aunque limitadas, solo se aplican a los ciudadanos estadounidenses. La NSA puede obtener acceso completo a todos los datos de ciudadanos no estadounidenses de empresas estadounidenses en cualquier momento.
Además, los sujetos de datos que no son de EE. UU. no tienen derechos exigibles en los tribunales contra las autoridades de EE. UU., lo que viola la «esencia» de ciertos derechos fundamentales de la UE, según determinó el Tribunal de Justicia de la Unión Europea.
Después de la invalidación de Privacy Shield los servicios en la nube estadounidenses recurrieron a acuerdos de procesamiento de datos con sus clientes europeos. Sin embargo, esta práctica es muy cuestionada por los expertos en privacidad de datos, especialmente en cuanto a su legalidad. La declaración emitida por la Autoridad Danesa de Protección de Datos lo demuestra una vez más. La autoridad denuncia, entre otras cosas, que:
“el contrato de tratamiento de datos estipula que la información puede ser transferida a terceros países en situaciones de asistencia sin el nivel de seguridad requerido”.
Además, la ilegalidad de Google en Europa se produjo después de que los organismos de control de la privacidad de datos en Francia, Italia y Austria dictaminaran que era ilegal que los sitios web europeos usaran Google Analytics para rastrear a los visitantes debido a una violación de las normas europeas de privacidad de datos. Aquí también, el problema es que los datos personales se transfieren a los Estados Unidos para su procesamiento sin el consentimiento de los visitantes del sitio web.
Finalmente, cabe mencionar que la toma de estas decisiones reaviva el debate sobre las posibilidades que ofrece Linux y el código abierto para las necesidades, pero tambien pone al frente a otros como Microsoft quien ya se ha postulado con algunas soluciones.