Bruselas vuelve a legalizar las transferencias de datos a EEUU y la persona que tumbó los 2 marcos anteriores confirma que volverá a recurrir

El comisario europeo de Justicia, Didier Reynders, ha anunciado este lunes la firma del nuevo acuerdo para las transferencias de datos transatlánticas entre la Unión Europea y Estados Unidos. La rúbrica se produce apenas unas semanas después de que Washington confirmara que había introducido ya los cambios legales que se requerían para aceptar este nuevo marco.

Gracias al Reglamento General de Protección de Datos (RGPD), Bruselas quiere que el Viejo Continente sea un espacio garantista con la privacidad y el tratamiento de los datos personales por parte de las empresas. Sin embargo, muchas multinacionales tecnológicas son de origen estadounidense o chino.

Dado que dichas empresas pueden tratar esos datos en sus países de origen, la Unión Europea viene firmando desde hace lustros acuerdos con esos terceros estados para constatar que se pueden hacer transferencias de datos a los mismos siempre y cuando la legislación de esos países pueda ser equiparable en garantías al RGPD europeo.

La firma de la Comisión Europea al nuevo acuerdo de transferencias de datos con EEUU convierte a la potencia americana en un puerto seguro de datos europeos. Dejó de serlo en julio de 2020, después de que el Tribunal de Justicia de la Unión Europea (TJUE) tumbase el anterior marco, conocido como Privacy Shield, y que databa del año 2016.

Ese Privacy Shield sucedía, a su vez, al acuerdo Safe Harbor, también entre Bruselas y Washington, que se rubricó a principios de los 2000 y también fue tumbado por el Alto Tribunal comunitario.

El Privacy Shield de 2016 fue tumbado por la justicia en 2020 después de que una organización de activistas en defensa de la privacidad, Noyb, lo denunciara. Lo hacía al entender que las revelaciones que Edward Snowden realizó en 2013 sobre cómo las agencias federales estadounidenses utilizaban de las herramientas de las grandes tecnológicas constataba que el equilibrio era imposible.

El equilibrio entre el RGPD y las garantías que ofrece sobre el tratamiento, almacenamiento y procesado de los datos personales de los ciudadanos europeos y las leyes de seguridad nacional en EEUU no se estaba dando. De ahí que el TJUE tumbase el Privacy Shield. Desde entonces, las transferencias de datos al otro lado del Atlántico han sido ilegales.

Cualquier uso de una tecnología estadounidense, por rutinaria que sea —el uso de Google Analytics, por ejemplo, para consultar las métricas y audiencias de un sitio web, o el uso de Facebook para iniciar sesión en un portal— ha podido ser sancionada con cuantiosas multas estos años, dado que esos procesos suponen una transferencia de datos a servidores en EEUU.

De hecho, en las últimas semanas se han visto cómo algunas agencias de protección de datos de países europeos han comenzado a castigar esas prácticas. Meta, por ejemplo, fue sancionada en Irlanda a finales de mayo con 1.200 millones de euros, la mayor multa de la historia del RGPD.

Meta, de hecho, advierte desde hace años en sus comunicaciones al regulador de los mercados de EEUU, la Sec, que de no existir una nueva transferencia de datos entre la UE y EEUU como la que ahora se firma, la compañía propietaria de plataformas como Facebook, WhatsApp o Instagram se vería obligada a abandonar el mercado europeo.

Dado el vacío legal que provocó la sentencia del TJUE de 2021, Bruselas y Washington anunciaron en marzo del año pasado que se ponían a trabajar en un nuevo acuerdo para la transferencia de datos transatlántica que sucediera el derogado Privacy Shield.

Fruto de esas negociaciones, EEUU se comprometió a introducir una serie de cambios, que se plasmaron en una orden ejecutiva de la Administración Biden que se conoció en octubre de 2022.

En esa orden ejecutiva se introdujeron varios compromisos. Por ejemplo, imponía nuevas salvaguardas para limitar el acceso a los datos de ciudadanos europeos por parte de agencias de inteligencia estadounidenses; y auspiciaba un nuevo organismo regulador (Tribunal de Revisión de Protección de Datos, DPRC por sus siglas en inglés).

Ese DPRC haría una labor de mediación entre usuarios y agencias de inteligencia norteamericanas siempre y cuando estas requieran acceder a bases de datos por motivos de seguridad nacional.

La orden ejecutiva estadounidense incluía además términos que recuerdan vagamente a los derechos que recoge un texto fundamental en la legislación comunitaria, la Carta de Derechos Fundamentales de la Unión Europea.

Estos cambios, sin embargo, no han satisfecho a muchos órganos comunitarios. La última palabra la tiene el Ejecutivo que lidera la alemana Ursula von der Leyen. Pero el Parlamento Europeo ya votó en contra de este nuevo marco de transferencias, a pesar de que la decisión de la Eurocámara no era vinculante.

Tampoco lo era el acuerdo del Comité Europeo de Protección de Datos (EDPB), el organismo que aglutina a las agencias nacionales de protección de datos —como la española AEPD, la francesa CNIL, la italiana Garante, etc—, que también se pronunció en contra al considerar que los cambios introducidos en la legislación estadounidense eran insuficientes.

Ningunas de esas posturas ha frenado a la Comisión Europea. Ahora Max Schrems, el presidente de Noyb, organismo que ya tumbó los anteriores acuerdos entre la UE y EEUU, anuncia que volverá a los tribunales.

No en balde, las sentencias que tumbaron el Safe Harbor de 2000 y el Privacy Shield de 2016 se conocen como sentencia Schrems y sentencia Schrems-II. Ahora, el activista en defensa de la privacidad confía en que en cuestión de meses se fallará una sentencia Schrems-III.

"Los acuerdos de los últimos 23 años han sido declarados inválidos, vamos a añadir 2 años más a esta batalla"

"Parece que el tercer intento de la Comisión Europea por tener un acuerdo estable entre la UE y EEUU en transferencias de datos llegará al TJUE en cuestión de meses. El supuesto "nuevo" acuerdo transatlántico para la privacidad de los datos es en la práctica una copia del fallido Privacy Shield", advierte Noyb en un comunicado remitido a los medios.

Así continúa la organización: "A pesar de los esfuerzos comunicativos de la Comisión Europea, solo hay pequeños cambios en la legislación estadounidense y en el enfoque que ha adoptado la UE".

Noyb entiende que Ursula von der Leyen y Joe Biden han empleado artimañas, "trucos de ilusionista". Después de que las negociaciones entre Bruselas y Washington permanecieran estancadas durante año y medio, "EEUU ha utilizado la guerra de Ucrania para presionar a Bruselas en la necesidad de transferir datos al otro lado del Atlántico".

El primero de esos trucos es el de la polisemia. El TJUE arguyó en 2020 que la vigilancia que la legislación estadounidense permitía sobre los datos personales de ciudadanos europeos no era "proporcional". Esa palabra, "proporcional", aparece en la Carta Europea de Derechos Fundamentales.

Ahora, con la nueva orden ejecutiva, aparece la palabra "proporcional" pero esta palabra responde a una "interpretación estadounidense" del término que además no se ha aclarado. "De esta manera la UE y EEUU son capaces de decir que están de acuerdo en la palabra "proporcional" aunque no exista acuerdo en el significado de la misma", denuncia Noyb.

Otro truco da respuesta a otro aspecto de la sentencia del TJUE de 2020, que consideró que el cargo estadounidense responsable de velar por el cumplimiento de los derechos y garantías de los titulares de los datos europeos transferidos no estaba cumpliendo con los estándares de la normativa europea.

Ahora ese organismo ha sido rebautizado con el nombre de Tribunal de Revisión de Protección de Datos, DPRC por sus siglas en inglés, pero Noyb aclara que "no se trata siquiera de un tribunal". "Aunque hay ligeras mejoras en estos mecanismos, los individuos no tendrán interacción directa con estas nuevas entidades".

Todo lo problemático, recuerda Noyb, está en el apartado 702 de la ley estadounidense sobre inteligencia y vigilancia extranjera. El organismo lamenta que con el articulado de esa ley EEUU rechaza "dar a los ciudadanos no estadounidenses una protección razonable de su privacidad". Dado que Biden ya ha logrado un nuevo acuerdo con la UE, "no hay razones para reformar esa ley".

Schrems, que ya prevé una nueva denuncia ante la justicia europea, es lacónico en sus comentarios. "Dicen que la definición de locura es hacer lo mismo una y otra vez y esperar resultados distintos. Al igual que con el Privacy Shield, este nuevo acuerdo no trae cambios tangibles, solo responde a intereses políticos".

"Tenemos puertos, paraguas, escudos y marcos", continúa, en referencia a los nombres que han recibido los acuerdos previos. "Pero ningún cambio sustancial en la ley de EEUU sobre vigilancia. El mero anuncio de que algo es nuevo, sólido o eficaz no es suficiente ante el TJUE".

"Tenemos varias opciones de recurso sobre la mesa, pero estamos hartos de este ping-pong jurídico. Esperamos que el asunto vuelva al TJUE a principios de 2024. Puede que el TJUE suspenda el nuevo acuerdo mientras revisa su contenido. En aras de la seguridad jurídica y del estado de derecho, sabremos entonces si las pequeñas mejoras de la Comisión han sido suficientes o no".

"Durante los últimos 23 años todos los acuerdos entre la UE y EEUU han sido declarados inválidos con carácter retroactivo, haciendo ilegales todas las transferencias de datos realizadas en el pasado por las empresas. Parece que ahora vamos a añadir otros 2 años más en esta batalla".