Las promesas de Washington a Bruselas en protección de datos no convencen, y un experto avisa: "Volverán al Tribunal de Justicia de la UE"

Joe Biden ha dado el primer paso. El presidente de EEUU ha firmado este viernes 7 de octubre una orden ejecutiva, una norma federal sin rango de ley, para amoldarse a los requerimientos que exige Europa de cara a un acuerdo que garantice las transferencias de datos transatlánticas. Sobre todo, después de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que tumbó el anterior marco.

El Alto Tribunal comunitario tumbó en 2020 el Privacy Shield, el nombre que recibía el acuerdo entre Washington y Bruselas. También hizo lo propio años antes con un marco anterior, el Safe Harbor. En la última sentencia, de hace dos años, la justicia europea determinaba que las transferencias de datos de ciudadanos europeos a EEUU no podrían continuar.

La razón: la falta de garantías en la potencia norteamericana para preservar y tratar los datos con las garantías que sí da Bruselas con el Reglamento General de Protección de Datos (RGPD).

La sentencia, a instancias de una demanda interpuesta por el activista austriaco en defensa de la privacidad, Max Schrems, y su plataforma, None Of Your Business (Noyb), ha puesto en peligro el negocio de gigantes tecnológicos como Google o Facebook. Aunque ambos operan en Europa, tratan los datos de sus usuarios en EEUU.

De hecho, Facebook lleva año deslizando en sus comunicaciones anuales al regulador norteamericano de los mercados, la SEC, que de no desplegarse un nuevo acuerdo podrían verse obligados a abandonar el mercado europeo. Facebook o Instagram podrían marcharse del Viejo Continente.

En marzo, durante una visita de Joe Biden a Bruselas, él y la presidenta de la Comisión, Ursula von der Leyen, anunciaron "un principio de acuerdo".Han pasado más de 6 meses hasta que ese compromiso ha comenzado a materializarse en algo, que es esta orden ejecutiva.

La idea de convertir México en el "canal de Panamá de la economía digital" llega al Senado y a Bruselas: evitaría que grandes tecnológicas se marchen de Europa

Dicha orden ejecutiva incluye varios compromisos. Por ejemplo, impone nuevas salvaguardas para limitar el acceso a datos de ciudadanos europeos por parte de agencias de inteligencia estadounidenses; y auspicia un nuevo organismo regulador (Tribunal de Revisión de Protección de Datos, DPRC por sus siglas en inglés) que mediará cuando sea necesario.

De esta manera, este DPRC hará esa labor de mediación entre usuarios y agencias de inteligencia norteamericanas siempre y cuando estas requieran acceder a bases de datos por motivos de seguridad nacional —es precisamente la ley de seguridad nacional estadounidense la que más conflictos ha creado con el RGPD—.

Lo llamativo de la orden ejecutiva es que además emplea términos que aparecen en la Carta de Derechos Fundamentales de la Unión Europea: ese acceso a datos de ciudadanos de la Unión se realizará en términos muy estrictos cuando ese escrutinio sea "necesario" y siempre con "proporcionalidad".

Los términos que EEUU había utilizado hasta ahora en sus normas no contemplaban las palabras "necesario" y "proporcionalidad", sino una expresión mucho más ambigua: esas revisiones se realizarían "tan adaptadas como fuesen posible" para velar por los derechos de los vigilados. 

Además, la orden ejecutiva ampara a los europeos que se consideren vigilados: podrán apelar a la Oficina del Protector de los Derechos Civiles, una oficina creada en 2005 para tratar de vigilar la comunidad de la inteligencia estadounidense.

"Parece que llegará al TJUE tarde o temprano"

La noticia de esta orden ejecutiva ha llegado a través de un comunicado del departamento que dirige el comisario europeo de Justicia, Didier Reynders. En cuanto se ha conocido la publicación, varios expertos en privacidad y protección de datos europeos han comenzado a opinar.

Uno de ellos es Gonzalo Oliver, especialista en protección de datos y miembro de la Asociación Española de Delegados de Protección de Datos (aeDPD). Oliver cree que es un primer paso "muy positivo", y llama la atención sobre el bautizado como Tribunal de Revisión de Protección de Datos. "No sabemos si es un organismo que ya está creado o no", avanza.

"Tampoco sabemos su configuración, cuáles serán sus funciones y poderes, o las cuantías de sus posibles sanciones. Si se crea este Tribunal con unos poderes pero después no tiene potestad para sancionar económicamente a las agencias de seguridad nacional estadounidenses, pues básicamente será papel mojado", apunta.

Con la orden ejecutiva estadounidense firmada, Oliver recuerda que ahora será el Comité Europeo de Protección de Datos quien recopile las opiniones de las agencias del ramo de cada país —entre ellas la Agencia Española de Protección de Datos— y sobre sus conclusiones, dar luz verde para que la Comisión Europea proponga el nuevo acuerdo para transferir datos a Washington.

"Eso no es óbice", advierte, "de que pese a que el nuevo acuerdo tenga el aval del Comité Europeo de Protección de Datos, de EEUU y de la Comisión Europea, si un ciudadano siente que sus derechos a la protección de datos no se cumplen en EEUU pueda presentar una nueva denuncia ante el Tribunal de Justicia de la Unión Europea". Lo que ya ha sucedido en dos ocasiones anteriores.

Por ello, aunque la orden ejecutiva no solo tiene en cuenta el Reglamento europeo de Protección de Datos, sino también la propia sentencia del TJUE que tumbó el último Privacy Shield, Gonzalo Oliver no descarta que el futuro acuerdo entre Washington y Bruselas acabe siendo nuevamente tumbado por la justicia europea.

Más crítico se ha mostrado el propio Max Schrems. Schrems interpuso las demandas a los dos anteriores acuerdos entre EEUU y Europa. De hecho, las sentencias que tumbaron dichos marcos se llaman Schrems y Schrems-II. El presidente de Noyb y activista por la privacidad cree que la nueva orden ejecutiva estadounidense "no satisface" los requerimientos legales europeos.

"EEUU y la UE están ahora en usar el término "proporcionalidad" en sus leyes, pero no terminan de compartir el significado del mismo. Después de todo, la sentencia del TJUE prevalecerá, desmontando cualquier decisión europea que pueda llegar. La Comisión está haciéndose la ciega ante la legislación estadounidense para consentir que se siga espiando a europeos".

"El nuevo Tribunal de Revisión no es un tribunal de verdad". Schrems lamenta que con lo que hay negro sobre blanco, las dinámicas serán los mismos: los usuarios que sientan sus derechos vulnerados se pondrán en contacto con los organismos de sus países, la AEPD en el caso de España, y estos a su vez con la burocracia estadounidense. "La respuesta de EEUU será insatisfactoria".

"Analizaremos toda esta propuesta en detalle, lo que nos llevará un par de días. De un primer vistazo parece que los problemas nucleares que existían siguen sin resolverse y que todo esto volverá al TJUE tarde o temprano", avanza.

Junto a Schrems, ya se han pronunciado foros como la Unión Estadounidense por las Libertades Civiles o el Diálogo Transatlántico del Consumidor, también considerando que la orden ejecutiva de Biden no logra evitar los principales problemas por los que fue tumbado el Privacy Shield.