El Comité Europeo de Protección de Datos lanza varios avisos ante la reconstrucción del marco que permitirá el flujo de datos a EEUU

Hace unos días la presidenta de la Comisión Europea, Ursula von der Leyen, anunció, junto con el presidente de Estados Unidos, Joe Biden, la consecución de un principio de acuerdo para diseñar un nuevo marco jurídico que ampare las transferencias de datos de ciudadanos y empresas europeas al otro lado del Atlántico.

La noticia llegaba tras meses de incertidumbre, en los que algunas agencias nacionales de protección de datos ya se estaban pronunciando sobre las transferencias transatlánticas que exigían determinados servicios, como la herramienta de métrica de audiencias Google Analytics.

Esos organismos de control estaban concluyendo que esas transferencias de datos a EEUU estaban siendo ilegales después de que una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) dictaminase, en julio de 2020, que el anterior acuerdo jurídico, el Privacy Shield, debía terminar.

El TJUE esgrimió en el fallo que EEUU no ofrecía las mismas garantías que sí puede ofrecer Bruselas gracias a su Reglamento General de Protección de Datos. La sentencia fue conocida como Schrems II por dos razones: la primera, el instigador del proceso judicial, Max Schrems. Este joven austríaco es el presidente de la asociación Noyb.

La otra razón es que no era la primera vez que el marco entre la Unión Europea y EEUU para garantizar estas transferencias de datos se veía derribado por la justicia.

Ahora es el Comité Europeo de Protección de Datos (EDPB), la institución comunitaria que reúne a los 27 organismos nacionales (la Agencia Española de Protección de Datos, la francesa CNIL, la irlandesa DPC, entre otras) para velar por el cumplimiento del RGPD, la que ha dado la bienvenida al nuevo acuerdo entre Bruselas y Washington.

Lo ha hecho mediante un comunicado en el que, al mismo tiempo, inciden en que el anuncio de un acuerdo no implica que el acuerdo y el consecuente marco legal ya haya sido redactado. Al mismo tiempo avisan a la Comisión Europea: no se podrá aprobar ningún acuerdo con EEUU sin que se haya contado previamente con la opinión del EDPB.

Europa anuncia el tercer acuerdo con EEUU para transferir datos allí: por qué cayeron los dos anteriores y por qué no es seguro que a la tercera vaya la vencida

Muchas grandes tecnológicas como Meta (antes Facebook) o Google ofrecen sus servicios en el Viejo Continente, pero los datos que recopilan aquí los transfieren a sus centros en EEUU, donde los tratan. 

Organizaciones como Noyb consideran que ese es un riesgo para la privacidad de ciudadanos europeos, ya que nada impide a las agencias federales de intervenir bases de datos privadas amparándose en la legislación norteamericana de seguridad nacional.

Por eso, con el anuncio del nuevo acuerdo que reemplazará el Privacy Shield, Washington asegura haberse comprometido a una serie de medidas "sin precedentes" que supondrá, en un principio, más garantías para la seguridad de los datos de los ciudadanos europeos. Meta recordó en su informe al regulador estadounidense que sin un nuevo acuerdo como este, se vería obligada a dejar Europa.

El EDPB asegura en su comunicado que examinarán "cómo este acuerdo político se traduce en propuestas legales concretas que puedan responder a las preocupaciones consideradas por el TJUE", con el objeto de ofrecer también "certeza" tanto a los ciudadanos europeos como a los "exportadores de datos".

"En estos momentos, este anuncio no supone ningún nuevo marco legal sobre el que los exportadores de datos puedan amparar su actividad. Por ello, estos exportadores deben seguir las mismas acciones que se requirieron con la sentencia del TJUE".

6 factores que amenazan realmente el futuro de Meta, matriz de Facebook, más allá de su improbable salida de Europa

Este Comité Europeo, en el que también está representada la española AEPD, recuerda que el Reglamento General de Protección de Datos exige a la Comisión Europea, instigadora de este nuevo acuerdo con Washington, contar con la opinión de los expertos antes de poder adoptar definitivamente un nuevo marco legal.

El EDPB también incide en que analizará "en detalle" cómo las reformas propuestas por Washington limitarán las posibles intercepciones de datos personales europeos en EEUU, por mucho que las autoridades norteamericanas se amparen en su Ley de Seguridad Nacional.

Mientras el acuerdo definitivo tarda en llegar, algunos expertos dudan, también en el seno de la EDPB, del potencial de este nuevo acuerdo. Si se tumbó el primer marco, se derribó el segundo, ¿cuánto debe haber cambiado el acuerdo para que no se hunda una tercera vez?