Las agencias de protección de datos tendrán que aprobar el acuerdo con EEUU que garantice los flujos de datos, una cuestión clave para que Facebook siga en el mercado europeo

Las agencias de protección de datos nacionales de toda la Unión Europea tendrán que ratificar la nueva orden ejecutiva que la Administración Biden proponga para alcanzar un nuevo acuerdo marco jurídico que garantice el flujo de datos de ciudadanos europeos a Estados Unidos. Así lo ha explicado en una respuesta a la Eurocámara un comisario europeo de Justicia, Didier Reynders.

La respuesta es una pregunta a la eurodiputada Assita Kanko, de la Nueva Alianza Flamenca, que preguntó hace unas semanas cuándo se conocerían nuevos detalles sobre el acuerdo que EEUU y la Unión Europea tienen que alcanzar para garantizar que los datos de ciudadanos europeos pueden enviarse a EEUU y tratarse allí.

El anterior acuerdo fue tumbado por el Tribunal de Justicia de la Unión Europea en verano de 2020. Fue gracias a una demanda que interpuso el activista austríaco en defensa de la privacidad Max Schrems, presidente de la plataforma Noyb (None of your business). 

Desde entonces las grandes tecnológicas han estado traspasando datos a EEUU haciendo uso de una figura jurídica llamada cláusulas contractuales tipo (SCC) que, a juicio de las instituciones europeas, no es suficiente.

Europa anuncia el tercer acuerdo con EEUU para transferir datos allí: por qué cayeron los dos anteriores y por qué no es seguro que a la tercera vaya la vencida

El TJUE tumbó el anterior acuerdo entre EEUU y Bruselas al entender que la potencia norteamericana no daba garntías en reciprocidad a la hora de tratar los datos de usuarios europeos.

En otras palabras: mientras que en Europa normas como el Reglamento General de Protección de Datos (RGPD) exigen un estricto cumplimiento a las compañías a la hora de tratar, preservar, procesar y proteger los datos de los usuarios, en EEUU no existe esa necesidad. Normas como la norteamericana Patriot Actpermiten a las agencias de inteligencia acceder a esos datos.

Ante la sospecha de que entidades como la NSA o el FBI pudiesen estar haciendo uso de esos datos, el TJUE tumbó el anterior marco. Por eso, el pasado mes de marzo, tras más de un año y medio sin acuerdo, Estados Unidos y la Comisión Europea anunciaron un preacuerdo. Un acuerdo para ponerse de acuerdo.

Sin embargo, ese acuerdo definitivo todavía no ha llegado, y la urgencia es tal que Meta, la empresa antes conocida como Facebook, recordó, en su declaración anual al regulador estadounidense (la SEC) que de no alcanzarse un nuevo marco jurídico que les permitiese transferir datos a EEUU para hacer el tratamiento de los mismos en sus oficinas, tendrían que abandonar el mercado europeo.

En realidad esa declaración no era nueva por parte de Meta. Pero, efectivamente, de no haber un acuerdo entre EEUU y Europa, grandes tecnológicas que consideran forzoso tratar los datos de sus usuarios en territorio norteamericano podrían vérselas con las autoridades de protección de datos europeas. Reivindicaciones similares también hizo Google.

El Comité Europeo de Protección de Datos lanza varios avisos ante la reconstrucción del marco que permitirá el flujo de datos a EEUU

Autoridades que, según el comisario Reynders, tendrán voz a la hora de ratificar el nuevo acuerdo. Autoridades como la Agencia Española de Protección de Datos (AEPD), la francesa CNIL o la irlandesa DPC.

En su respuesta al Parlamento Europeo, Reynders informa que los nuevos compromisos adquiridos por EEUU (fundamentalmente, limitar el acceso a los datos de ciudadanos europeos por parte de sus agencias de inteligencia) "deberán reflejarse en una nueva Orden Ejecutiva que adoptará el presidente de EEUU".

"Sobre esa base, la Comisión podrá proponer un proyecto de adecuación e iniciar el procedimiento de adopción". Pero eso implica también contar con "una opinión del Comité Europeo de Protección de Datos", EDPB, en sus siglas en inglés: la institución comunitaria que aglutina a las 27 agencias de protección de datos de los países miembros.

El Comité, de hecho, ya avanzó que vigilaría de cerca el nuevo marco aprobado.

Además de la opinión del EDPB, se deberá contar con "un voto positivo de los países miembros". Por todo ello, se trata de un proceso que se dilatará en el tiempo y del que, desde que se anunció el compromiso de acuerdo, no ha habido novedades.