Irlanda dispara la presión a las grandes tecnológicas, a EEUU y a Europa con su propuesta de bloquear las transferencias transatlánticas de datos: qué puede pasar ahora

La Comisión de Protección de Datos irlandesa (DPC, en sus siglas en inglés) avanzó este jueves a mediodía una decisión, todavía no definitiva: bloquear y prohibir las transferencias de datos personales de usuarios europeos a Estados Unidos. De esta forma se daría cumplimiento a una sentencia del Tribunal de Justicia de la Unión Europeo de hace dos años.

En 2020 el TJUE publicó un fallo judicial con el que tumbaba el Privacy Shield, el acuerdo entre EEUU y la Unión Europea para garantizar ese flujo y esas transferencias de datos. Los argumentos: las garantías que la Administración norteamericana da en el tratamiento de los datos de los usuarios no son equiparables al del Reglamento General de Protección de Datos (RGPD).

Fundamentalmente porque en Estados Unidos prevalece la Ley de Seguridad Nacional, que ampara la intervención de las agencias nacionales a la hora de intervenir los datos personales que operan y tratan las grandes tecnológicas en el territorio norteamericano.

Hace meses el presidente de EEUU, Joe Biden, y la presidenta de la Comisión Europea, Ursula von der Leyen, anunciaron un acuerdo para diseñar un futuro marco que amparase de nuevo ese flujo de datos de Europa a EEUU, en sustitución del Privacy Shield. Sin embargo, poco se ha avanzado en este sentido.

Grandes tecnológicas como Google o Meta ya habían pedido que se trabajase en ese acuerdo transatlántico. Meta informa al regulador estadounidense de los mercados, a la SEC, de forma anual, sobre la situación de sus cuentas. En los últimos informes ofrecidos por la compañía de Mark Zuckerberg, la propietaria de Facebook advierte de su marcha de Europa si no se soluciona esto.

Con el borrador de decisión de la DPC, una eventual marcha de Facebook e Instagram, plataformas de Meta, podría precipitarse. Ambas firmas abandonarían la Unión Europea al quedarse sin opciones para enviar los datos que recopilan de sus usuarios en el Viejo Continente para procesarlos y tratarlos en sus servidores en EEUU.

Facebook no sería la única en irse si se ilegalizan las transferencias de datos a EEUU: por qué este pulso de Europa no es solo contra las tecnológicas, sino también contra Washington

De hecho, medios como Politico deslizaban este mismo jueves que esta marcha podría llegar a darse este mismo verano. Pero activistas en defensa de la privacidad como Max Schrems, presidente de la plataforma None Of Your Business (NOYB), han calmado los ánimos. En un comunicado, la organización recuerda que procesos similares a este pueden demorarse hasta un año.

En ese sentido, el resto de agencias nacionales de protección de datos, como la española AEPD o la francesa CNIL, pueden objetar la decisión que propone la DPC irlandesa, e incluso llevar la misma a una votación en el seno del Comité Europeo de Protección de Datos.

De prosperar este veto que propone Irlanda, el daño no solo se trasladaría a Meta o a Google. El daño puede ser colosal también para pequeñas y medianas empresas que usan sus servicios digitales para vender en línea o hacer marketing digital. Ahora la clave está en ver qué llega antes: si la decisión final de Irlanda o el nuevo acuerdo entre EEUU y Europa para garantizar estas transferencias.

Pero también puede llegar otra cosa antes. Un reglamento de protección de datos estadounidense. Varios congresistas estadounidenses propusieron a la Cámara de los Representantes el pasado mes de junio un borrador de la American Data Privacy and Protection Act, en español Ley de Privacidad y Protección de Datos Estadounidense.

Gonzalo Oliver es asesor jurídico en materia de Protección de Datos, Privacidad y Ciberseguridad, trabaja en OZONIA Consultores y es socio de la Asociación Española de Delegados de Protección de Datos (aeDPD). Considera que la propuesta de decisión de la DPC es "acertada" ya que "por activa y por pasiva se ha dicho que esas transferencias internacionales de datos incumplen el RGPD".

Protección de Datos rechaza elaborar un informe sobre si las cookies de Google Analytics suponen transferencias ilegales de datos a EEUU porque ya está tramitando varias denuncias

Lo incumplen porque trasladan datos de usuarios europeos "a servidores que tienen estas plataformas en Estados Unidos, y allí prevalece la Ley de Seguridad Nacional frente a los intereses de los ciudadanos en materia de protección de datos", destaca. Aunque NOYB plantea que la vía hasta llegar a la decisión definitiva puede dilatarse varios meses, Oliver recuerda el artículo 66 del RGPD.

"Es el que establece los procedimientos de urgencia: cualquier autoridad de control, para garantizar los derechos y libertades fundamentales de los ciudadanos en la Unión Europea, puede adoptar cualquier tipo de medida de seguridad. Por ejemplo, el bloqueo de los servicios de Meta a la hora de transfer información a EEUU".

El anticipo de decisión que se conoció este jueves abre la puerta a varios problemas. Uno de ellos lo sufrirán los propios usuarios, que se podrían ver, eventualmente, "sin acceso a determinados servicios digitales". Eso supone "un posible riesgo para empresas que usen en este caso los canales de marketing y publicidad de Instagram o Facebook".

Pero va a ser, sobre todo, "un gran reto" para las autoridades de control, como la AEPD, la DPC o la CNIL, entre otras. 

Borja Adsuara, prestigioso abogado y consultor tecnológico, incidió en declaraciones previas a este medio que son las tecnológicas las primeras interesadas en cumplir con el RGPD. Lo que ocurre es que ninguna puede dar garantía de que agencias estadounidenses no les van a pedir en algún momento datos de un ciudadano concreto.

Oliver plantea la posibilidad de que estas grandes tecnológicas pudiesen almacenar los datos que tratan de sus ciudadanos europeos en precisamente servidores radicados en el territorio del Viejo Continente. Google, sin ir más lejos, tiene varios servidores en Europa, expone. "O bien Estados Unidos crea una ley de privacidad que contemple derechos similares a los que contempla el RGPD".

"Estos dos mapas se pueden dar". De no alcanzarse un acuerdo pronto, "sería un caos para los propios consumidores y para empresas, pymes y autónomos que utilicen estos servicios digitales".