Facebook no sería la única en irse si se ilegalizan las transferencias de datos a EEUU: por qué este pulso de Europa no es solo contra las tecnológicas, sino también contra Washington

Ursula Von der Leyen.

Reuters

  • Un comentario de Facebook en su informe anual a la SEC, el regulador de los mercados en EEUU, sobre la situación de las transferencias de datos a este país desde Europa ha encendido la polémica.
  • Facebook no sería la única obligada a marcharse si no hay un nuevo acuerdo transatlántico entre Bruselas y Washington: afectará a todas las firmas tecnológicas.
  • Expertos como Borja Adsuara o Gonzalo Oliver comparten su opinión sobre este pulso contra las tecnológicas, que en realidad es también contra Washington.
  • Comienza el día bien informado con la selección de noticias de Business Insider España: suscríbete gratis aquí.

Unas líneas en el informe anual que Meta (antes Facebook) envía al regulador estadounidense han levantado toda una polvareda en diversos medios de comunicación.

Facebook podría estar sopesando marcharse de Europa en caso de que finalmente las transferencias de datos personales desde Europa a EEUU acaben considerándose ilegales.

"Si no se adopta un nuevo acuerdo transatlántico y no podemos seguir trabajando con cláusulas contractuales tipo ni con otras alternativas que permitan la transferencia de datos personales de Europa a EEUU, no podremos ofrecer un amplio número de nuestros principales productos y servicios en Europa, como Facebook o Instagram", destacaban.

Incluso dirigentes europeos, como los ministros de Finanzas alemán y francés, Robert Habeck y Bruno Le Maire, se han pronunciado esta semana. "Después de ser hackeado, he vivido sin Facebook ni Twitter durante 4 años y la vida ha sido fantástica", aseveró el primero. "Puedo confirmar que la vida es genial sin Facebook", continuó el segundo.

"Los gigantes digitales deben entender que el continente europeo resistirá y reafirmará su soberanía", añadió Le Maire. Tanto él como Habeck entendieron esas palabras de la multinacional de Mark Zuckerberg como una amenaza al Viejo Continente.

Los datos son el petróleo que empresas y gobiernos necesitan, aunque la privacidad ya se ha convertido en un debate global: así hemos llegado hasta aquí

Pero es más complejo, como advierten algunos especialistas consultados por Business Insider España.

Meta adujo eso en el informe anual porque están obligados legalmente a detallar todos los riesgos que podrían correr los inversores que apostasen por su compañía. La SEC, el regulador de los mercados en EUU, y la ley en ese país se lo exigen. Y la sentencia que falló el Tribunal de Justicia de la Unión Europea en julio de 2020 ha generado una inseguridad jurídica en muchas compañías, no solo en la propietaria de Facebook.

La firma que fundó Mark Zuckerberg confía en que, en la primera mitad de 2022, se publique la resolución de la DPC, la agencia de protección de datos irlandesa. Es ella la competente (ya que la filial europea de Meta está en ese país) para resolver si las transferencias de datos personales que la tecnológica hace desde el Viejo Continente a EEUU son legales o ilegales.

Presumiblemente, la DPC fallará que esas transferencias de datos son ilegales, como ya dictaminó la sentencia del TJUE de 2020. A lo que se agarraron Facebook (y otras tantas grandes tecnológicas) fue a las cláusulas contractuales tipo, una suerte de marco jurídico por el cual se permitían esas transferencias.

Un desafío que no es nuevo ni afecta solo a Facebook

El problema: lo que tumbó la sentencia de 2020 del TJUE es el Privacy Shield, el acuerdo transatlántico que permitía a las multinacionales transferir datos de usuarios europeos a EEUU. El TJUE dio la razón a Max Schrems, el activista austríaco que está detrás de la plataforma de activistas en defensa de la privacidad Noyb.

El juzgado concluyó que EEUU no ofrecía las mismas garantías en materia de protección de datos que sí ofrece Europa gracias a su Reglamento General de Protección de Datos (RGPD), vigente desde 2018. Por esa razón, por vulnerarse el principio de equidad a uno y otro lado del Atlántico, el Privacy Shield decaía.

No ha sido hasta 2022 cuando Meta y otras grandes tecnológicas como la propia Google se las están viendo con las primeras resoluciones de las agencias de protección de datos nacionales en materia de estas polémicas transferencias de datos. El gigante del buscador, por ejemplo, pidió hace unas semanas que se alcanzase un nuevo acuerdo transatlántico.

Lo hacía pocos días después de que la agencia de protección de datos austríaca o incluso el Supervisor Europeo de Protección de Datos se pronunciasen, por un motivo u otro, al entender que la compañía estaba haciendo estas transferencias de datos ilegales mediante las cookies de su herramienta de analítica web, Google Analytics.

Así son los datos a los que no das importancia y con los que los ciberdelincuentes pueden saberlo todo sobre tu vida y preparar sus ataques, según expertos en OSINT

Solo que, en lugar de sancionar a la propia Google, el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) sancionó al Parlamento Europeo, que era quien había instalado Analytics en una de sus páginas. El EDPS es la agencia de protección de datos que vela por el cumplimiento del RGPD en las instituciones europeas.

Meta, por su parte, reaccionó rápido a la polémica suscitada en varios medios. "No tenemos ni el deseo ni ningún plan de abandonar Europa, pero la simple realidad es que Meta, como otros tantos negocios, organizaciones y servicios, dependen de las transferencias de datos entre Europa y Estados Unidos para operar sus servicios".

"Como otras compañías, hemos seguido las leyes europeas y confiado en las cláusulas contractuales tipo, así como otras salvaguardas apropiadas para los datos, para poder ofrecer un servicio global. En esencia, los negocios necesitan certidumbre, normas globales para proteger los flujos transatlánticos de datos a largo plazo", continuaban.

"Por eso, al igual que otras 70 grandes compañías de un amplio espectro de industrias, en Meta hemos estado siguiendo muy de cerca el potencial impacto en nuestras operaciones europeas".

Con la polémica sobre la mesa, saltan varias preguntas. ¿Por qué se señala únicamente a Europa? ¿Es solo Meta la perjudicada? ¿Qué va a pasar?

Responden Borja Adsuara, prestigioso abogado y consultor tecnológico, y Gonzalo Oliver, asesor jurídico en materia de Protección de Datos, Privacidad y Ciberseguridad que trabaja en Ozonia Consultores y es socio de la Asociación Española de Delegados de Protección de Datos (aeDPD). Oliver pidió hace unas semanas que la AEPD se pronunciase sobre estas transferencias de datos a EEUU.

Por el momento no hay respuesta.

"Un pulso más a la Unión Europea"

Mark Zuckerberg

Reuters

Las líneas que han levantado la polémica en medios a uno y al otro lado del océano aparecen en el informe que la multinacional Meta ha remitido a su regulador este año, pero también aparecía con escasas variaciones en informes del año pasado.

Lo que ocurre es que esta ocasión esas aseveraciones llegan en un momento delicado, con las agencias de protección de datos pronunciándose al fin sobre las transferencias de datos a Estados Unidos. Por eso, el propio Oliver también ha entendido este recordatorio en su informe como "un pulso más de Zuckerberg a la Unión Europea".

"O me hacen caso o me voy", resume el experto. "Evidentemente no se van a ir por el amplio campo de negocio que tienen las compañías de Meta en la Unión Europea. Simplemente piden que se llegue a un nuevo acuerdo con la SEC estadounidense para poner solución a la situación que se originó tras la sentencia de julio de 2020".

Pero Oliver se hace una pregunta:. "¿Por qué Facebook no puede tratar sus datos en Europa?". En el caso de Google Analytics, por ejemplo, la multinacional del buscador tiene centros de datos en el Viejo Continente. Si quisieran garantizar que esos datos de ciudadanos europeos se conservan en suelo europeo, podrían.

"Constrúyete servidores o vete a un país que sea considerado puerto seguro para la Unión Europea", señala Gonzalo Oliver como posibles soluciones para Meta. O, si quieren agilizar un acuerdo transatlántico entre Bruselas y Washington, que hablen "también con su gobierno". El especialista advierte que esto se está dando tan solo con el RGPD en vigor.

Lo recuerda mientras avanza que sucederán problemas mucho mayores cuando llegue la Ley de Servicios Digitales que la Comisión y el Parlamento Europeo están ahora mismo pactando.

Facebook es "la primera interesada" en cumplir con el RGPD

Borja Adsuara está sorprendido con la polémica. "No es una cosa que afecte a Facebook, sino a todas las empresas de fuera de Europa", enfatiza. "Lo que ha hecho Facebook es dar al regulador estadounidense información de la empresa". Si no lo hicieran y, en el peor de los casos, la compañía tuviera que dejar Europa, supondría un problema grave para sus inversores.

Y sus directivos podrían ir a la cárcel por ocultar información.

"Podemos hablar de Google con su Analytics, o de empresas bancarias. Hay un riesgo regulatorio en Europa con este tema porque no se sabe qué va a pasar", explica. Las grandes operadoras del cloud sí cuentan con servidores en Europa porque ahí es donde pueden garantizar que los datos de sus clientes, de sus alojados, permanecerán en suelo europeo.

Pero, ¿qué pasa en una red social, que son una comunicación punto a punto? "Si mi tía está en Canadá y hablo con ella por Facebook, mis datos viajarán fuera de la Unión Europea", apunta. "Hay cosas que con una red social global es imposible. Lo mismo la opción es que no me dejen hablar con mi tía en Canadá", opina.

"Dudo mucho que Facebook quiera irse de Europa. Cuando leí los primeros titulares pensé que Zuckerberg había mandado una carta a la Comisión Europea o al Parlamento, y es un informe de cara a los inversores", enfatiza. Adsuara abunda que, antes de que se publicara el Privacy Shield que decayó en 2020 y que sustituyó al Safe Harbour (el anterior marco), él ya vaticinó lo que pasaría.

Así reivindica el responsable del metaverso de Facebook el potencial para marcas y anunciantes que tiene el nuevo mundo que están diseñando

"Pensé que esto es imposible de arreglar, porque lo que no puede ser, no puede ser. Max Schrems volvería a impugnar el acuerdo transatlántico y lo volverá a ganar". Adsuara recuerda su predicción.

¿A qué se refiere con que "lo que no puede ser, no puede ser"? "Estamos en una ficción jurídica. Las empresas se comprometen a cumplir con el estándar europeo, pero no hay vía legal para garantizar ese compromiso". El TJUE tumbó el Privacy Shield al entender que EEUU no ofrecía las mismas garantías que sí ofrece Europa. Si algo cambia ahora, habrá que hacer "como que nos lo creemos".

Las empresas señalan a menudo más a Europa que a Estados Unidos. Adsuara señala que EEUU ni siquiera ha logrado sacar adelante una ley federal de protección de datos. "¿Cómo garantizo yo que mis empresas cumplen el estándar de protección de datos europeo si no tengo ni una norma en EEUU?".

"Están interesadas en cumplirlo, porque las tecnológicas son las primeras que no quieren verse expulsadas del mercado". Lo que ocurre es que ninguna empresa estadounidense puede garantizar que la Agencia Nacional de la Seguridad (la NSA) no les va a pedir en algún momento datos de un ciudadano norteamericano o extranjero.

A ello les ampara la legislación estadounidense. Y, aunque las compañías tecnológicas asegurasen que no cederían esos datos a la NSA ni a ninguna agencia del Gobierno estadounidense que les exigiese tal cosa, no habría forma de comprobar que es cierto: "Nosotros nos lo creemos, porque si alguien lo pide nunca lo reconocerá, y las empresas tampoco".

"Puede ser muy pornográfico decir esto, pero el derecho es una ficción. Establecemos una capa por encima de la realidad en la que señalamos cómo deberían ser las cosas. Todos nos comprometemos a cumplirlas". Otra cosa es la realidad.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.