Meta ya advirtió que podría abandonar Europa, y los mecanismos de intercambio de datos que surgieron tras las revelaciones de espionaje de Snowden están en el centro de la polémica

A principios de febrero, Meta, matriz de Facebook, dijo que quizás tendría que abandonar Europa. Luego, dijo que "no amenazaba en absoluto" con irse de Europa. Los políticos europeos bromearon diciendo que deseaban que lo hiciera. 

Las idas y venidas giraron en torno al futuro de las transferencias internacionales de datos, el eufemismo que designa el modo en que las empresas mueven tu información personal y cómo te protegen de los espías.

Gracias a una serie de demandas presentadas por el activista y abogado austriaco Max Schrems durante la última década, las normas que rigen la forma en que las grandes (y pequeñas) empresas tecnológicas gestionan la información personal de sus usuarios europeos están cambiando.  

Esto es lo que está pasando.

Existen estrictos acuerdos internacionales que regulan tu información personal

Cuando alguien en Europa se conecta o publica en Facebook, sus datos personales, como su foto de perfil y sus intereses, se recogen y almacenan en los centros de datos de Meta. 

Al menos parte de esa información va a Estados Unidos, donde tienen su sede las principales empresas tecnológicas.

"Allí es donde están sus sedes, tienen espacio de almacenamiento, es más eficiente y menos costoso", según Jörg Hladjk, experto en ciberseguridad de Jones Day. 

El problema es que cualquier dato que salga de la UE solo puede ir a un país que se considere que tiene normas de privacidad equivalentes. Los datos que se encuentran en suelo estadounidense pueden ser recogidos por los espías de ese país, algo que sabemos después de que el excontratista de la Agencia de Seguridad Nacional Edward Snowden diera a conocer los programas de vigilancia en línea de Estados Unidos en 2013.

Esas revelaciones son parte de lo que llevó a Max Schrems, un abogado y activista, a desafiar las protecciones de transferencia de datos de Europa. Como resultado, los tribunales europeos rechazaron dos mecanismos en los que Meta y otras empresas tecnológicas habían confiado: el Safe Harbor en 2015 y su sucesor, el Privacy Shield en 2020.

Las empresas tecnológicas se basan ahora en una solución alternativa 

Esto ha dejado a las empresas tecnológicas en el limbo. Mientras los negociadores de EEUU y de la UE luchan por una sustitución sólida del Escudo de Privacidad, las empresas tecnológicas confían en las "cláusulas contractuales tipo", o CCS, por sus siglas en inglés.

Las cláusulas contractuales tipo son salvaguardias legales creadas por la UE, en las que las empresas tecnológicas copian y pegan en un contrato un lenguaje estándar sobre el intercambio de datos.

Las cláusulas contractuales son una solución que permite a las empresas tecnológicas seguir transfiriendo datos legalmente a través del Atlántico, pero nunca fueron diseñadas para ser el mecanismo principal para el transporte de datos por valor de billones de dólares al año. Además, no son muy flexibles y pueden ser difíciles de aplicar, según Hladjk, de Jones Day. 

Pero Max Schrems está ahora en Irlanda desafiando el uso de los CCE por parte de Meta, citando los mismos temores a la vigilancia estadounidense. El organismo irlandés de control de la protección de datos, principal regulador europeo de la mayoría de las empresas tecnológicas estadounidenses, decidirá en abril si los SCC son suficientemente sólidos.

8 maneras de ganar dinero en Facebook, incluyendo los nuevos anuncios de Reels

Si Irlanda considera que el uso de los SCC por parte de Meta no cumple las normas europeas de privacidad, podría tener un efecto dominó más amplio, a menos que los negociadores de la Comisión Europea puedan llegar a un acuerdo sobre un mecanismo de transferencia de datos totalmente nuevo. 

Meta advirtió que este limbo constituía un riesgo importante para su negocio en su informe anual correspondiente al año que finalizó el 31 de diciembre, lo que fue ampliamente interpretado como una amenaza de abandonar Europa. 

La empresa dijo explícitamente que si Irlanda elimina por completo las cláusulas de datos estándar sin un reemplazo, le resultaría bastante difícil ofrecer servicios como Facebook e Instagram en Europa.

"Durante muchos años, el marco legal que sustenta la transferencia de datos a través del Atlántico se ha visto gravemente perturbado", se quejó uno de los responsables políticos de la empresa, Markus Reinisch, en un post posterior.

Es poco probable que Meta se retire realmente de Europa

Es probable que Meta y otros gigantes tecnológicos no abandonen Europa, según Marco Bosher, abogado de privacidad de datos de Noyb, el grupo de derechos de privacidad cofundado por Schrems. 

La idea de que las transferencias de datos entre Europa y EEUU vayan a detenerse realmente es fantástica, añade. La infraestructura física que facilita las transferencias de datos sigue funcionando; en realidad se trata de una batalla legal entre ambos lados del Atlántico.

"Son necesarias para que toda la economía global funcione", dice. "Gran parte de la infraestructura troncal de internet está en Estados Unidos, la mayoría de los mayores servidores están en Estados Unidos".

Pero aún no está claro cómo podrían ser las nuevas protecciones para los datos de los usuarios europeos.

Una solución fácil podría ser simplemente construir nuevos centros de datos en Europa para mantener la información lejos de miradas indiscretas.

Pero uno de los problemas es que las leyes de vigilancia estadounidenses se aplican en todo el mundo. Schrems y su equipo quieren protecciones más sólidas en general. "A la NSA no le importa si los datos se almacenan en un servidor de Estados Unidos o en un servidor de Europa", comenta Bosher.

También hay "un signo de interrogación sobre si eso es viable", dice Hladjk, porque todavía hay muchas funciones que las empresas tecnológicas quieren hacer en los centros de datos de EEUU, como el procesamiento de datos más barato para su negocio. Además, a las pequeñas y medianas empresas les resultaría gravoso, si no imposible, construir un centro de datos europeo, explica. 

Por ejemplo, los planes de Meta para construir un nuevo centro de datos en los Países Bajos: la empresa tiene en mente una parcela de 166 hectáreas, el equivalente a más de 400 campos de fútbol, de punta a punta, de costosos servidores y equipos técnicos. 

Las empresas tecnológicas también podrían ofrecer sus propias soluciones a la privacidad de los datos de los usuarios. 

Las empresas tecnológicas podrían utilizar la encriptación como forma de reforzar los derechos de privacidad de los europeos, pero tendrían que asegurarse de que las agencias estadounidenses no puedan pedir a las empresas tecnológicas la capacidad de acceder a esos datos y desencriptarlos.

Otra opción sería una especie de cortafuegos para los usuarios europeos. "Tendrían que crear, llamémosle, espacios seguros europeos, para los datos en los que estén realmente a salvo de la vigilancia estadounidense, por lo que deben permanecer geográficamente en la UE, pero también estar a salvo del acceso de los servicios de vigilancia estadounidenses", apunta Bosher.

Pero no está claro cómo funcionaría esto, y las empresas tecnológicas siguen vadeando la inseguridad jurídica.

La UE estará dispuesta a encontrar una nueva solución más sólida, ya que sería políticamente embarazoso que otro mecanismo de transferencia de datos fuera rechazado en los tribunales. Margrethe Vestager, vicepresidenta ejecutiva de estrategia digital, dijo en febrero que acordar un sustituto del Escudo de Privacidad era "una alta prioridad" pero "no es fácil".

Estas negociaciones están "vinculadas a la forma en que las agencias de seguridad nacional llevan a cabo sus actividades en EEUU", explica a Business Insider la Dra. Gabriela Zanfir-Fortuna, vicepresidenta de privacidad global en el Foro sobre el Futuro de la Privacidad.

"Estoy convencida de que, finalmente, llegarán a un acuerdo", concluye.