Europa anuncia el tercer acuerdo con EEUU para transferir datos allí: por qué cayeron los dos anteriores y por qué no es seguro que a la tercera vaya la vencida

Este viernes se ha confirmado: la Comisión Europea y Estados Unidos han alcanzado un principio de acuerdo para conseguir un nuevo marco jurídico que ampare las transferencias de datos personales desde el Viejo Continente a la potencia norteamericana.

Desde julio de 2020, las transferencias de datos atlánticas carecen de amparo legal. Esto se debe a que una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) derribó el conocido como Privacy Shield (Escudo de la Privacidad), el nombre con el que se bautizó el anterior acuerdo suscrito en 2016.

La sentencia del TJUE, conocida como sentencia Schrems-II, toma el nombre del activista austríaco Max Schrems, líder de una plataforma en defensa de la privacidad llamada Noyb (acrónimo en inglés de No es asunto tuyo). El TJUE entendió, a instancias de un recurso que interpuso Schrems, que las garantías estadounidenses en tratamiento de datos no eran recíprocas a las europeas.

El Reglamento General de Protección de Datos (RGPD), en vigor desde 2018, contempla un mecanismo llamado cláusulas contractuales tipo (SCC, por sus siglas en inglés) que sirven para garantizar esos flujos de datos a un país con el que la Unión Europea no tenga un acuerdo específico. Sin embargo, para poder utilizar esos mecanismos es necesario que el país destino reúna unos requisitos.

Esos requisitos son que el país destino sea un estado democrático y de derecho "con normativas que aseguren la protección de datos personales", que tengan autoridades de control análogas a la Agencia Española de Protección de Datos (en el caso de EEUU sería el Tribunal Supremo) y que forme de "determinados tratados internacionales" que garanticen la protección de datos.

Así lo explica Gonzalo Oliver, uno de los especialistas en protección de datos, miembro de la Asociación Española de Delegados de Protección de Datos (aeDPD) que desde hace meses sigue con sumo interés todo lo que está sucediendo con las transferencias de datos internacionales a EEUU.

Hace unas semanas, la autoridad de protección de datos de las instituciones europeas (EDPS) o francesa concluyeron que el uso de herramientas de métrica de audiencia como Google Analytics suponían una vulneración del RGPD. El uso de Analytics suponía transferir datos personales de usuarios europeos a EEUU, cuando el Privacy Shield está roto y no hay acuerdo vigente.

El organismo español, la Agencia Española de Protección de Datos, ha decidido no pronunciarse por el momento porque es un asunto que se está tratando en el Comité Europeo de Protección de Datos (EDPB, el organismo que regula a las 27 agencias nacionales). Fue el propio Oliver quién instó a la AEPD a pronunciarse.

De hecho, Google animó con un comunicado a que las instituciones europeas y la Administración estadounidense alcanzaran un nuevo acuerdo. Tras presentar sus resultados financieros de 2021, Meta (antes Facebook) advirtió al regulador de los mercados estadounidenses, la SEC, que de continuar EEUU y Europa sin este acuerdo, la compañía se vería obligada a abandonar el Viejo Continente.

Facebook no sería la única en irse si se ilegalizan las transferencias de datos a EEUU: por qué este pulso de Europa no es solo contra las tecnológicas, sino también contra Washington

Es un aviso que la multinacional tecnológica que ahora se afana en construir el metaverso viene lanzando anualmente a la SEC, si bien un documento filtrado señalaba hace meses que la compañía también consideraba que ese veto a las transferencias de datos internacionales en realidad no tenía por qué afectarles.

Por el momento no se conoce el nuevo acuerdo. Lo único que ha trascendido es la declaración política de Ursula Von der Leyen, presidenta de la Comisión, y Joe Biden, presidente de EEUU. También una declaración de intenciones en la que se detalla que los datos podrán fluir "libremente y de forma segura entre Europa y las compañías estadounidenses".

Max Schrems, presidente de Noyb, por su parte siempre ha entendido que la Ley de Seguridad Nacional estadounidense abre la puerta a que las agencias o el Gobierno federal de aquel país pueda acceder a la base de datos de compañías privadas con datos europeos para consultarlas, en caso de que se considere que exista alguna amenaza a la seguridad nacional.

De suceder así, se trataría de un tratamiento de datos muy distinto al del propósito inicial por el que los usuarios europeos ceden su información a las grandes tecnológicas. Así también lo entendió el propio Tribunal de Justicia de la Unión Europea en julio de 2020 con su sentencia Schrems-II.

La Comisión asegura que la nueva batería de normas blindará y ofrecerá salvaguardas "para limitar el acceso a la inteligencia estadounidense y a sus autoridades" para que el acceso a datos de ciudadanos europeos sea "proporcionado" y adecuado a proteger la seguridad nacional norteamericana. 

Entre los "beneficios" de este principio de acuerdo se destaca que de esta manera se cumplimenta con lo que falló la sentencia Schrems-II.

Aunque por su parte el propio Schrems ha avanzado que cuando se pormenoricen los detalles sobre el nuevo acuerdo, Noyb "o cualquier otra asociación" podrá recurrirla si se entiende que los datos de los usuarios europeos no están debidamente protegidos frente a los servicios secretos estadounidenses.

Este será el tercer acuerdo entre Europa y Estados Unidos para garantizar estas transferencias de datos. Con todo, no está tan claro que a la tercera vaya la vencida.

Por qué este tercer acuerdo podría tener el mismo final que los dos anteriores

Oliver recuerda, en declaraciones a Business Insider España, que el primer acuerdo se registró con la Decisión de la Comisión Europea 2000/520, del año 2000. Se conoció como Safe Harbor (puerto seguro, en inglés) y la sentencia Schrems acabó tumbándolo por razones similares a las que luego se verían en 2020 con el Privacy Shield.

Ese Privacy Shield entró en vigor por la Decisión 2016/1250 y fue en este caso la sentencia Schrems-II la que acabó tumbándolo. "Nuevamente reconocía que la Ley de Seguridad Nacional de EEUU primaba frente al derecho a la protección de datos", destaca Oliver. 

"Desde la primera decisión al año 2000 han pasado 22 años y EEUU no ha hecho ninguna reforma que permita garantizar el derecho fundamental a la protección de los datos de los europeos", recuerda.

Ni tiene intención de hacerlo, como detalla el propio Schrems en un comunicado hecho público por Noyb horas después de que se conociese este principio de acuerdo. 

Será Europa la que se tenga que encargar de ofrecer un acceso limitado a los datos de los ciudadanos europeos para que los servicios de inteligencia norteamericanos solo puedan recabar información "proporcional" en base a sus usos y necesidades en materia de seguridad nacional.

"En este contexto de economía digital en el que ya muchas empresas como Meta o Google han amenazado con dejar la UE por no poder realizar las transferencias internacionales de datos", incide Oliver. Aunque "no tenemos conocimiento" de "nada más" sobre el nuevo acuerdo, "probablemente" acabe siendo recurrido por el propio Schrems una vez más.

¿Por qué? "Porque EEUU no ha cambiado su parecer ni ha introducido en su marco normativo leyes que aseguren la privacidad frente a su Ley de Seguridad Nacional". Es cierto que "la Unión Europea ha trabajado de la mano del Gobierno de EEUU", por lo que una vez se acceda a ese acuerdo se podrá verificar si se volverá a incumplir el Reglamento General de Protección de Datos.

La RAE, Freepik o eDreams, entre las decenas de entidades denunciadas por permitir las transferencias de datos de sus usuarios a EEUU después de que una sentencia del TJUE las invalidara

Las transferencias de datos internacionales no reguladas están sancionadas según el artículo 83 del RGPD con sanciones que podrían superar o los 20 millones de euros o el 4% de sus negocios, lo que hizo que muchas empresas desistieran de hacer uso de las cláusulas contractuales tipo a expensas de que no exista un acuerdo superior entre Europa y EEUU.

Otras fuentes legales consultadas por Business Insider España recuerdan que por mucho que las tecnológicas lo nieguen, en muchas ocasiones será imposible comprobar si la inteligencia norteamericana ha accedido a los datos de ciudadanos europeos o no.

Sin embargo, este "principio de acuerdo" podría ser la respuesta que multinacionales como Facebook (ahora Meta) o Google anhelaban para poder seguir operando con normalidad. Será cuestión de tiempo comprobar si a la tercera será la vencida, o si se acabará conociendo una sentencia Schrems-III dentro de unos años.