Max Schrems es el presidente de None Of Your Business —no son tus asuntos, en español, una plataforma de activistas europeos en defensa de la privacidad—. También es el artífice de que el Tribunal de Justicia de la Unión Europea (TJUE) tumbase los 2 últimos acuerdos que rubricaron Bruselas y Washington para amparar legalmente las transferencias de datos transatlánticas.

El último acuerdo tumbado por el Alto Tribunal comunitario recibía el nombre de Privacy Shield. La sentencia llegó en verano de 2020, hace ya más de 2 años. En marzo de este 2022, aprovechando una visita del presidente estadounidense Joe Biden a Bruselas, él y la presidenta de la Comisión Europea, Ursula von der Leyen, anunciaron un futuro tercer acuerdo para garantizar esas transferencias.

6 meses después no hay noticias sobre el mismo. En mayo una respuesta a una pregunta parlamentaria por parte del comisario de Justicia advirtió de que lo conocido en marzo era un preacuerdo político. Un acuerdo entre las dos potencias para ponerse de acuerdo. Nada más.

Estos acuerdos para garantizar transferencias de datos son indispensables en virtud del Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2018: los datos de los ciudadanos europeos solo pueden acabar en países que sean considerados puerto seguro. 

Europa anuncia el tercer acuerdo con EEUU para transferir datos allí: por qué cayeron los dos anteriores y por qué no es seguro que a la tercera vaya la vencida

El TJUE sentenció en 2020 que EEUU no lo era, ya que sus garantías al proteger y preservar los datos europeos no eran equiparables a las que estipula el RGPD. La razón: en EEUU hay leyes federales que permiten a organismos como la Agencia de Seguridad Nacional acceder a bases de datos privadas si consideran que en ellas puede haber información sobre una amenaza al país.

Por eso, el hecho de que Schrems se pronuncie sobre este tema es noticia. No en balde, las sentencias que tumbaron los anteriores acuerdos entre Washington y Bruselas reciben el nombre de Schrems y Schrems-II. Y el propio activista avanza que si prospera este tercer acuerdo se recurrirá al TJUE de nuevo, con lo que no sería extraño ver una Schrems-III.

En un comunicado colgado en la web de Noyb, Schrems denuncia cómo "el acuerdo político" acaba dándose de bruces "con la realidad legal". "A pesar de las diversas promesas (...), no se ha publicado nada tangible en los últimos 6 meses. En su lugar, circulan rumores como algunas propuestas que está haciendo EEUU para elaborar el nuevo acuerdo", propuestas que a Europa no le valdrían.

Entre esas propuestas está el contar con un tribunal ejecutivo que medie en los intentos de acceso de EEUU a bases de datos europeos que estén allí tratándose, un extremo que Europa no aceptó en acuerdos previos. Además, los mismos rumores plantean que EEUU está usando un lenguaje menos contundente que el inicial: se comprometió a ejecutar accesos "necesarios" y "proporcionales".

"En un principio se nos prometió una solución perfecta para finales de año. Ahora parece que lo que veremos a finales de año serán los primeros pasos hacia esa solución perfecta. Lo que escucho ahora es que esos primeros pasos no buscan una solución, sino que dan pasos atrás hacia un tercer acuerdo fallido", expone Schrems.

Que continúa: "Es alucinante que 2 democracias que comparten principios como la autorización judicial de la vigilancia no puedan alcanzar un acuerdo sencillo. Parece que EEUU todavía respalda la idea de que los ciudadanos que no sean americanos no deberían tener derechos fundamentales".

"Se han cumplido ya 2 años desde la última sentencia del TJUE. Aunque algunas autoridades de protección de datos han emprendido acciones individuales en base a las quejas presentadas, seguimos sin ver que se esté cumpliendo con esa jurisprudencia. El anuncio del nuevo acuerdo es uno de los factores que lo está evitando", lamenta el activista.

Al EEUU no ser considerado puerto seguro de datos, las transferencias de datos personales desde el Viejo Continente al otro lado del Atlántico no pueden producirse. Tampoco a través de unos mecanismos legales llamados cláusulas contractuales tipo: el TJUE no dejó lugar a dudas. Sin embargo, todos estos años las empresas han continuado realizando dichas transferencias.

Empresas del calado de Google o Meta, propietaria de Facebook: este tipo de gigantes tecnológicos derivan los datos de los ciudadanos europeos a sus centros de datos en suelo estadounidense para procesarlos allí. Meta ha advertido en los últimos años al regulador de los mercados norteamericano que si esto no se arregla, tendrán que irse de Europa.

Mientras la controversia con respecto a estas transferencias de datos continúa, un grupo de españoles y mexicanos han propuesto a México como el posible puerto seguro de datos alternativo a EEUU, lo que convertiría al país centroamericano en el nuevo canal de Panamá del siglo XXI.

Para ello, los promotores de la iniciativa ya han mantenido encuentros con autoridades como la propia Agencia Española de Protección de Datos, así como con senadoras españolas y eurodiputadas.